Všichni již víme, že elektronický podpis je jedinečné číslo, které vytváří podepisující osoba pomocí svých dat na vytváření elektronického podpisu a zprávy, kterou podepisuje. Data na vytváření elektronického podpisu (dále jen soukromý klíč) se generují spolu s daty pro ověřování elektronického podpisu (dále jen veřejný klíč) pouze jednou za životní cyklus certifikátu a pro bezpečnost celého systému je jejich bezpečné uchovávání velice duležité. Veřejný klíc je naopak informace, kterou muže mít k dispozici neomezený počet osob a bezpečnost používání elektronického podpisu tím není nijak ohrožena. Při samotném vytváření elektronického podpisu aplikuje podepisující osoba svuj soukromý klíč na danou zprávu a tento dokument spolu s elektronickým podpisem a certifikátem odesílá spoléhající se straně (např. příjemci pošty). Podle zákona o elektronickém podpisu musí podepisující osoba mimo jiné dbát na to, aby její soukromý klíč nemohl být neoprávněně zneužit a chránit ho proti takovému zneužití. Za porušení této povinnosti podepisující osoba odpovídá podle občanského zákoníku. Příjemce zprávy pak běžným způsobem ověří platnost elektronického podpisu a to, zda certifikát, který je nositelem veřejného klíče podepisující osoby, nebyl zneplatněn. Pokud je vše v pořádku,splehájící strana (příjemce) muže tomuto podpisu důvěřovat.

Z uvedených řádků se může zdát, že spoléhající se strana hraje v celém procesu užívání elektronického podpisu ponekud pasivní roli: certifikacní autorita (po provedení patričných úkonu) vytvoří pro podepisující osobu dvojici klíčů a certifikát, podepisující osoba pak elektronicky podepíše určitá data a spoléhající se stana pouze ověří platnost a buď se spolehne či ne. Ve skutečnosti je tomu jinak.

Celý proces, jak jsme si ho výše nastínili, je založen na tom, že spoléhající se strana je ochotna náš certifikát přijmout. V žádném právním předpisu se nestanoví povinnost spoléhající se strany přijímat a spoléhat se na jakýkoli certifikát, byť platný a kvalifikovaný. Asi málo z nás by otevřelo elektronicky podepsaný spustitelný soubor u něhož by byl přiložen certifikát se jménem Mickey Mouse. Předpokladem úspěšné elektronické komunikace tedy musí být vůle a souhlas druhé strany k této komunikaci. Co z toho vyplývá?

Je to právě spoléhající se strana, která si muže diktovat, jak má daný certifikát vypadat (které další dispozitivní atributy má obsahovat, zda musí nést jméno podepisující strany, či stačí pouze její pseudonym apod.). Je to spoléhající se strana, která určí, jakým způsobem bude ověřovat statut zneplatnění certifikátu (CRL, OCSP, DeltaCRL apod.) a v jakých intervalech tak bude činit. A především je to spoléhající se strana, která rozhodne jaké certifikáty a od jakého poskytovatele bude přijímat a jakou míru zabezpečení bude požadovat. Důkazem toho nám budiž zahraniční praxe.
Nejdále v používání elektronického podpisu a zároveň nejblíže v principech zákona o elektronickém podpisu nám je jistě Německá spolková republika. Elektronický podpis je zde uzákoněn již od roku 1997 a od této doby se v Německu akreditovalo 16 poskytovatelů certifikačních služeb. Každý z nich vydává různé kvalifikované certifikáty pro ruzné agendy. Jedině tak mohou uspokojit různorodou poptávku trhu a zároveň se na něm udržet. Období, kdy převládala poptávka po "jakýchkoli" certifikátech vydaných na základě zákona (tak, jak to nyní zažíváme i u nás), brzy vystrídal její pokles a po čase byli poskytovatelé certifikačních služeb nuceni nabízet takové certifikáty, které přesně odpovídaly požadavkům jednotlivých agend (advokátní komora, zdravotnické odbory, telekomunikační společnosti a v neposlední řadě orgány veřejné správy).

Způsob, jakým toho lze dosáhnout je v zásadě velice jednoduchý. Subjekty, které spolu chtějí komunikovat v rámci zákona a s použitím elektronického podpisu a zároveň mají zvláštní požadavky na tuto komunikaci, se dohodnou s vybranou certifikační autoritou na struktuře poskytovaných služeb a samozřejmě na jejich ceně. Certifikační autorita pak vytvoří odpovídající certifikační politiku (případně i novou Certifikační prováděcí směrnici), podle které bude dané služby poskytovat. Certifikacní autorita dále ověří u příslušného akreditačního orgánu (v případe České republiky je to Úrad pro ochranu osobních údaju), zda tyto služby (a samozřejmě jejich realizace) splňují požadavky zákona. Dalším krokem je již poskytování těchto certifikačních služeb.

Nic nebrání tomu, aby se podobné procesy rozeběhly i v České republice. Je naprosto zřejmé, že kvalifikovaný certifikát, tak jak ho definuje zákon o elektronickém podpisu, a revokační služba (služba zneplatnění certifikátu) s 12ti hodinovou lhutou na zveřejnění, nebudou dostatečné pro potřeby veškerých komunikačních agend ani u nás. Zda bude ovšem orgánu veřejné moci pri vyřizování podání postačovat, že přiložený certifikát je kvalifikovaný, je spíše nepravděpodobné. Ani zákon ani jiný podzákonný předpis však nemohou klást další požadavky na poskytovatele certifikačních služeb potažmo na jejich služby, neboť by to odporovalo článku 3 Směrnice 1999/93 ES, která byla jejich výchozím bodem. Je tedy na jednotlivých orgánech veřejné moci a samozřejmě na dalších subjektech, které chtějí využívat elektronický podpis v rámci zákona, aby stanovily své požadavky a prosadily je u poskytovatelů certifikačních služeb.