V důsledku předchozího odstavce si musíme znovu poupravit naši představu o tom, jak přesně se v praxi vyhodnocuje platnost elektronického podpisu, pomocí běžně používaných prostředků pro ověřování (vyhodnocování platnosti) elektronických podpisů.
Postup, který jsme si popisovali v celé předchozí kapitole, nebral do úvahy druh certifikátu, resp. jeho „kvalitu“ (chápanou jako míru jeho důvěryhodnosti). Zejména tedy to, zda jde o certifikát kvalifikovaný, nebo komerční.
To odpovídá pohledu (tuzemské) právní úpravy: podle ní druh certifikátu nerozhoduje o platnosti elektronického podpisu: podpis je platný bez ohledu na druh certifikátu, na kterém je podpis založen. Druh certifikátu rozhoduje pouze o tom, zda jde o zaručený elektronický podpis, či o uznávaný elektronický podpis atd.
Běžně používané programy (prostředky) pro vyhodnocování elektronických podpisů ale vyžadují splnění jedné další podmínky, aby konkrétní podpis vyhodnotily jako platný: musí mít explicitní důvod, na základě kterého mohou považovat za důvěryhodný ten certifikát, na kterém je posuzovaný podpis založen.
V praxi to znamená, že buďto musí být označen jako důvěryhodný (vložen do příslušného úložiště důvěryhodných certifikátů) přímo ten certifikát, na kterém je ověřovaný podpis založen, nebo musí být jako důvěryhodný označen některý z jeho nadřazených certifikátů (na příslušné certifikační cestě).
Názorně to ukazuje předchozí příklad s elektronickým podpisem literární postavy Josefa Švejka (v levé části obrázku 4.10): vyhodnocení platnosti prováděl program Adobe Reader, přičemž certifikát Josefa Švejka byl v jeho úložišti uložen mezi důvěryhodnými certifikáty. Proto jej Reader považoval za důvěryhodný a mohl dospět k závěru, že podpis, založený na tomto certifikátu, je platný.
Naopak v případě, kdy ověřující program (prostředek) nemá k dispozici takové informace, na základě kterých by příslušný certifikát (nebo některý z jeho nadřazených certifikátů) mohl považovat za důvěryhodný, nemůže dojít k závěru, že podpis je platný. A to ani tehdy, když jsou ostatní podmínky splněny (tj. integrita podepsaného dokumentu je neporušena, certifikát je platný a nebyl revokován). V takovém případě skončí ověřování podpisu obvykle s výsledkem „nevím“ (i když podle zákona by mělo skončit verdiktem „platný“).
Příklad ukazuje následující obrázek se stejným zaručeným elektronickým podpisem literární postavy Josefa Švejka jako dříve (v levé části obrázku 4.10). Tentokráte ale bez toho, že by příslušný certifikát byl uložen v tom úložišti důvěryhodných certifikátů, které právě používá program Adobe Reader. Ten tak nemá k dispozici informace, na jejichž základě by certifikát mohl považovat za důvěryhodný – a proto celý podpis hodnotí tak, že jeho platnost je neznámá.
V obou příkladech (na obrázku 4.11 a v levé části obrázku 4.10) přitom jde o jeden a tentýž podpis, který z pohledu práva je platným zaručeným elektronickým podpisem, ale není platným uznávaným elektronickým podpisem.
Obrázek 4 - 11: Vyhodnocení platnosti podpisu literární postavy Josefa Švejka v situaci, kdy jeho certifikát není zařazen mezi důvěryhodnými certifikáty
Právě popsané chování programů, používaných pro ověřování elektronických podpisů, má velmi významné důsledky pro běžnou praxi: jako uživatelé těchto programů si musíme dávat bedlivý pozor na správnou interpretaci jejich verdiktů. Když nám tyto programy řeknou, že konkrétní podpis je platný, musíme si sami zjistit, zda jde o platný zaručený podpis, platný uznávaný podpis či jiný druh podpisu. A když nám naopak řeknou, že platnost podpisu nedokáží ověřit (tj. že platnost podpisu je neznámá), může to být způsobeno jen tím, že příslušný certifikát není umístěn na správném místě v úložišti důvěryhodných certifikátů.