Le travail du groupe SPKI a commencé, en 1996, par la définition de l'ensemble des besoins auxquels devra répondre la PKI (cf. RFC 2692 - SPKI Requirements). En particulier, SPKI abandonne la notion "un certificat permet de lier une clé à une identité" pour considérer que le rôle d'un certificat est, de façon plus générale, d'attribuer des permissions au possesseur d'une clé. Un certificat SPKI contient donc un ensemble d'attributs et d'autorisations, éventuellement à caractère confidentiel. En conséquence, SPKI en soi ne se charge pas de la distribution centralisée des certificats. Il est cependant possible d'avoir recours pour cela à un système comme DNSSEC, au détriment de la confidentialité du contenu du certificat.
Le groupe SPKI s'est intéressé à l'histoire des certificats et aux significations successives de ce terme et du vocabulaire apparenté. La RFC 2693 - SPKI Certificate Theory, constitue de ce fait une très bonne introduction à la théorie des certificats dans son ensemble.
Un certificat ou autre objet SPKI peut notamment comporter, suivant sa fonction, tout ou partie des cinq champs suivants : émetteur (Issuer), sujet (Subject), permission de délégation (Delegation permission), autorisation (Authorization), dates et/ou tests de validité (Validity dates and/or tests). Le champ sujet contient notamment la clé publique et le champ autorisation les autorisations correspondantes. Les tests de validité sont de trois types : CRL, revalidation et revalidation à usage unique. Chacun de ces tests permet d'affiner ou de modifier la fourchette temporelle pendant laquelle le certificat est considéré comme valable. Les tests de revalidation constituent l'approche inverse de celle des listes de révocation, en ce sens qu'ils permettent de prolonger la durée de vie limitée des certificats SPKI.