Entité, généralement une autorité de certification (CA), qu'un service en particulier connaît et à laquelle il fait confiance. Le service approuve la validité de la clé publique de la racine approuvée. La clé publique, même si elle est approuvée, a toujours la forme d'un certificat de clé publique et s'appelle un certificat de racine approuvée. Tous les certificats de clé publique signés par une racine approuvée sont censés être valides.
La classe 3 de VeriSign* est un exemple de racine approuvée.