Rozdělování certifikátů na „osobní“ a „systémové“ se ale používá jen u certifikátů kvalifikovaných.
Připomeňme si, že všechny ostatní certifikáty obecně označujeme jako komerční certifikáty.
Hlavní smysl komerčních certifikátů je možnost jejich nasazení všude tam, kde nepřipadá v úvahu nasazení certifikátů kvalifikovaných. Jak již víme, kvalifikované certifikáty lze využívat jen při podepisování (vytváření elektronických podpisů), při označování (vytváření elektronických značek), resp. při „razítkování“ (vytváření časových razítek).
Vzhledem ke komplementárnosti účelu (jiné účely než podepisování) už ale není možné rozdělovat komerční certifikáty podle stejného kritéria, jako certifikáty kvalifikované, tedy podle využití pro podpis či pro značku/razítko.
Místo toho jsou komerční certifikáty děleny více ad-hoc způsobem, opět ale v závislosti na svém využití. Obvykle na:
· komerční osobní certifikáty: jsou vystavovány pouze fyzickým osobám a mohou být použity například pro šifrování, autentizaci, ale třeba i podepisování
· komerční serverové certifikáty: mohou být vystavovány jak fyzickým osobám, tak i právnickým osobám či organizačním složkám státu. Používají se zejména pro identifikaci a autentizaci webových serverů vůči jejich klientům, a pro zabezpečenou komunikaci mezi klienty a servery pomocí protokolu SSL/TLS
Některé certifikační autority nabízí například také komerční šifrovací certifikáty, určené právě a pouze pro šifrování[54].
Zajímavé je, že samotný pojem „komerční certifikát“ v zákonech nenajdeme. Není zde použit, a je zaveden až praxí (právě jako doplněk k pojmu „kvalifikovaný certifikát“).
Zákon[55] definuje pouze kvalifikovaný certifikát. Činí tak ve dvou krocích, když nejprve říká, že:
certifikátem [se rozumí] datová zpráva, která je vydána poskytovatelem certifikačních služeb, spojuje data pro ověřování elektronických podpisů s podepisující osobou a umožňuje ověřit její identitu, nebo spojuje data pro ověřování elektronických značek s označující osobou a umožňuje ověřit její identitu
a poté již definuje požadavky kladené na kvalifikovaný certifikát, byť nejprve odkazem:
kvalifikovaným certifikátem [se rozumí] certifikát, který má náležitosti podle § 12 a byl vydán kvalifikovaným poskytovatelem certifikačních služeb
Teprve zmíněný paragraf 12 pak přináší samotné požadavky, kladené na kvalifikovaný certifikát. Ten mimo jiné musí:
· mít v sobě napsáno, že je vydán jako kvalifikovaný
· identifikovat toho, kdo ho vydal
· identifikovat toho, komu byl vydán (a to na úrovni: jméno, popřípadě jména, a příjmení podepisující osoby nebo její pseudonym s příslušným označením, že se jedná o pseudonym
· obsahovat veřejný klíč (data pro ověřování podpisu)
· být označen elektronickou značkou poskytovatele certifikačních služeb, ta musí být sama založena na kvalifikovaném systémovém certifikátu poskytovatele, který kvalifikovaný certifikát vydává
· obsahovat unikátní (sériové) číslo kvalifikovaného certifikátu
· obsahovat údaj o počátku a konci platnosti kvalifikovaného certifikátu
Kromě toho kvalifikovaný certifikát může:
· obsahovat údaje o tom, zda se používání kvalifikovaného certifikátu omezuje podle povahy a rozsahu (toho, co je podepisováno) jen pro určité použití,
· obsahovat zvláštní znaky podepisující osoby (vyžaduje-li to účel kvalifikovaného certifikátu – například u tzv. zaměstnaneckých certifikátů údaj o zaměstnavateli)
· obsahovat omezení hodnot transakcí, pro něž lze kvalifikovaný certifikát použít.
Další osobní údaje pak smí kvalifikovaný certifikát obsahovat jen se svolením podepisující osoby. Zde se může jednat například o emailovou adresu, která se dnes do kvalifikovaných certifikátů běžně vkládá. Nebo třeba údaje o bydlišti držitele certifikátu apod.
[54] Důvodem pro odlišení šifrovacích (komerčních) certifikátů od ostatních komerčních certifikátů jsou i odlišné možnosti nakládání s příslušnými soukromými klíči: u šifrovacích certifikátů mohou být příslušné soukromé klíče svěřeny do úschovy třetí osobě (aby se v případě potřeby dostala k zašifrovaným datům), zatímco u komerčních certifikátů používaných pro autentizaci toto nepřipadá v úvahu (aby se třetí osoba – byť jen v případě potřeby – autentizovala pomocí cizího soukromého klíče a odpovídajícího certifikátu).
[55] Zákon č. 227/2000 Sb. o elektronickém podpisu, v platném znění