Certifikat används oftast vid det som kallas public key cryptography. Symmetriska krypteringstekniker som AES, DES, Blowfish etc använder alla en nyckel för att kryptera meddelanden. Den här nyckeln måste man få iväg till den andra sidan på något vis, så att de kan dekryptera vad man skrivet. Att bara skicka den rakt över nätet är ju inte säkert, för det är nyckeln som avgör om man kan dekryptera eller inte, så om man inte vill bränna den på en skiva och lämna över i första person måste man ha ett annat sätt.
Med en algoritm för publika nycklar, t ex RSA, skapas två olika nycklar istället. En publik nyckel, som man kan kryptera med, och en privat nyckel man kan dekryptera med. Den privata nyckeln innehåller två väldigt stora primtal, och den publika nyckeln innehåller produkten av de talen. Eftersom det är väldigt svårt att faktorisera jättestora tal är det nästan omöjligt att hitta den privata nyckeln om man bara har den publika nyckeln. Den publika nyckeln kan nu skickas i plaintext över nätverket. Ett sånt här system kallas asymmetriska eftersom deltagarna inte har tillgång till samma information.
Ett certifikat innehåller en publik nyckel, vem som äger den, vilken site den får användas mot, en tidsstämpel och hur länge den gäller etc. Eftersom den privata nyckeln är väldigt känslig, och man vill veta säkert att bara mottagaren känner till den, och inte någon annan på vägen, brukar man låta en tredje part signera certifikatet. Den här tredje parten använder i sin tur sin privata nyckel för att signera certifikatet, och lämnar ut sin publika nyckel till alla som vill ha den. Det är dessa publika nyckel som brukar ligga förinstallerade i webläsare. Det går naturligtvis att signera sina egna certifikat alldeles gratis, men då brukar användaren få godkänna certifikatet innan kommunikation kan vidta.
Med den publika RSA-nyckeln kan klienten generera en nyckel för den symmetriska krypteringsmetod som ska användas - till exempel AES. Klienten krypterar AES-nyckeln med den publika RSA-nyckel den fick från servern och skickar iväg det över nätverket. Servern i sin tur dekrypterar AES-nyckeln med sin privata RSA-nyckel, och nu har båda parter varsin kopia av AES-nyckeln, och kan utbyta AES-krypterade meddelanden, utan att någon annan fick tillgång till AES-nyckeln.
Det här blev långt, men jag hoppas du förstår på ett ungefär.