Un certificado de entidad final es un certificado que no se usa para validar firmas en otros certificados, es decir, un certificado que no contiene una clave pública de CA (su extensión Basic Constraints
está ausente, o contiene un indicador cA
con el valor FALSE
). Se llama "entidad final" porque aparece, necesariamente, al final de una ruta de certificado.
Un certificado de emisor de CRL, es decir, un certificado para alguna entidad que firma CRL (en nombre de una CA), puede ser un certificado de entidad final, ya que la firma de CRL no requiere ser una CA.