Auto-emesso significa che l'entità che ha emesso (firmato) il certificato è la stessa dell'entità che ha ricevuto il certificato e detiene la chiave pubblica in essa contenuta. Nel contesto di RFC 5280, un certificato auto emesso è definito come:
A certificate is self-issued if the same DN appears in the subject
and issuer fields (the two DNs are the same if they match according
to the rules specified in Section 7.1)
Si noti che le regole di corrispondenza dei nomi richiedono una normalizzazione piuttosto complessa di spazi bianchi e casi.
Autofirmato significa che un certificato è stato firmato dalla chiave privata che corrisponde alla chiave pubblica nel certificato.
I certificati auto emessi possono essere autofirmati. O no. Ha senso avere un certificato che è sia auto-emesso che autofirmato nel caso in cui l'auto-emissione fosse intesa a modificare altre caratteristiche del certificato, come le estensioni, le date di validità o anche i dettagli di codifica del nome.
In ogni caso, non si trovano i certificati parent basati solo sulla chiave; la costruzione del percorso dei certificati tende a utilizzare i nomi e gli "identificatori delle chiavi" ( Authority Key Identifier
, < a href="http://tools.ietf.org/html/rfc5280#section-4.2.1.2"> Subject Key Identifier
) e l'URL di download per la CA di emissione nel Authority Information Access
estensione. Ci sono molti più modi di quello; vedi RFC 4158 per una discussione più approfondita. In conclusione, i certificati autofirmati, siano essi autofirmati o meno, possono verificarsi nel mezzo di catene di certificati.