Un certificato di entità finale è un certificato che non viene utilizzato per convalidare le firme su altri certificati, vale a dire un certificato che non contiene una chiave pubblica CA (la sua estensione Basic Constraints
è assente o contiene un flag cA
con valore FALSE
). Si chiama "end-entity" perché appare, necessariamente, alla fine di un percorso del certificato.
Un certificato di emittente CRL, ovvero un certificato per qualche entità che firma CRL (per conto di una CA), può essere un certificato di entità finale, poiché la firma di CRL non richiede di essere una CA.