Zoals we eerder hebben besproken, kan in een “Web of Trust” iedereen fungeren als de Vertrouwde Derde Partij. Dit gebeurt door wederzijds elkaars certificaat te ondertekenen. Dit proces staat bekend als “key signing,” of in begrijpelijke taal, “sleutelondertekening.” Bij sleutelondertekening wordt een certificaat bekrachtigd door een berekening uit te voeren met de private sleutel van de eigenaar van het sleutelpaar.
Wanneer je het PGP-certificaat van iemand aan je eigen sleuteldatabase toevoegt, kun je beslissen of je die persoon’s sleutel wilt ondertekenen. Het ondertekenen kan op verschillende niveaus plaatsvinden:
In een “Web of Trust” heb je de mogelijkheid om voor elke individuele contactpersoon aan te geven hoeveel vertrouwen je in die persoon hebt. Als je aangeeft dat je iemand volledig vertrouwt, impliceert dit automatisch vertrouwen in zijn directe contacten. Op deze manier hoef je niet elke persoon handmatig toe te voegen die hij of zij al heeft toegevoegd, en vice versa. Je hebt de flexibiliteit om per contactpersoon aan te geven in welke mate je hen vertrouwt. Het overzicht hieronder geeft een algemene weergave van hoe een “Web of Trust” werkt.
In een “Web of Trust” vindt het ondertekenen van sleutels soms plaats tijdens zogenaamde “key signing parties.” Op deze bijeenkomsten brengt iedereen zijn identiteitsbewijs en zijn digitale certificaat mee. Tijdens de party wordt de identiteit van elkaar in het echt gecontroleerd, waarna men later thuis digitaal elkaars certificaten ondertekent.