Zertifizierungsstellen existieren sowohl als spezielle Firmen ("VeriSign") oder aber als Institution innerhalb einer Firma, die einen eigenen Server installiert hat (wie etwa der Microsoft Certificate Server). Auch öffentliche Organisationen oder Regierungsstellen sowie Universitäten können als Zertifizierungsstelle dienen.
Um bei der Vielzahl der Zertifizierungsstellen die Echtheit des Zertifikats zu garantieren, wird dem Zertifikat eine digitale Signatur einer vertrauenswürdigen Instanz (z.B. eine Behörde) aufgeprägt, durch welche die Integrität und Echtheit des Zertifikats nachgewiesen werden kann. Da der öffentliche Schlüssel einer Zertifizierungsstelle schließlich wiederum mittels eines Zertifikats überprüfbar sein muss, ergibt sich die Notwendigkeit einer obersten Zertifizierungsinstanz: In Deutschland übernimmt diese Funktion die Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (ehemals "Regulierungsbehörde für Telekommunikation und Post" (Reg TP)). Die Bundesnetzagentur führt eine Liste aller akkreditierten Zertifizierungsdiensteanbieter. Auch die für qualifizierte elektronische Signaturen zugelassenen Kryptoalgorithmen werden von der Bundesnetzagentur genehmigt und veröffentlicht.
Dort sind auch die für eine qualifizierte elektronische Signatur zugelassenen Produkte aufgelistet. Unter http://www.bundesnetzagentur.de können alle Bestätigungen für Produkte für qualifizierte Signaturen eingesehen werden. Produkte, die nicht auf dieser Seite aufgeführt sind, sind durch die Bundesnetzagentur bisher nicht anerkannt und erfüllen somit auch nicht die Anforderungen des SigG und der dazugehörenden Signatur-Verordnung (SigV). Vor dem Erwerb entsprechender Software-Produkte ist hier also besondere Aufmerksamkeit geboten: Veröffentlichungen von Produktbestätigungen der Produkthersteller oder -vertreiber, die vor einer Veröffentlichung der Bestätigung auf der Seite der Bundesnetzagentur erscheinen, dürfen nicht zur Annahme veranlassen, dass das Produkt allen Anforderungen des SigG und der SigV tatsächlich genügt. Erst bei Veröffentlichung der Bestätigung auf der oben genannten Bundesnetzagentur-Seite ist sichergestellt, dass es sich um ein bestätigtes Produkt im Sinne des SigG handelt.
Einsatz der elektronischen Signatur in der Praxis
Der Einsatz der elektronischen Signatur in der Praxis läuft schrittweise wie folgt: Der Absender wählt die zu signierende Datei beliebigen Formats aus, die Signatur-Software bildet dann über diese Nutzdatei einen sog. "Hashwert" (Prüfsumme, digitaler Fingerabdruck). Nun kommt der geheime Schlüssel des Absenders zum Einsatz, mit Hilfe dessen der Hashwert verschlüsselt und damit die elektronische Signatur gebildet wird.
Beim Versenden der Dateien hat der Absender mehrere Möglichkeiten: Entweder er verschickt die Nutzdatei und die Signaturdatei getrennt oder er bildet eine "Containerdatei" mit beiden Dateien oder die Signatur ist in der Nutzdatei enthalten, was speziell bei Dokumenten im pdf- oder xml-Format praktikabel ist.
Nachdem der Empfänger die Nutzdatei und die Signaturdatei erhalten hat, dechiffriert er die Signatur mit Hilfe des öffentlichen Schlüssels und erhält damit den vom Absender erzeugten Hashwert. Dann berechnet er mit Hilfe der Signatursoftware den Hashwert zur Nutzdatei erneut und vergleicht die beiden Hashwerte. Wenn diese identisch sind, wurde die Datei vom "richtigen" Absender verschickt und auch während der Übermittlung nicht verändert. Der Verwender der elektronischen Signatur sollte sich in einer Hinsicht jedoch nicht in (falscher) Sicherheit wiegen: Der Inhalt der Datei selbst wird allein durch eine elektronische Signatur nicht verschlüsselt. Die Datei ist auch weiterhin im Klartext lesbar und kann verändert werden - was dann allerdings vom Empfänger bemerkt würde.
Natürlich steht es dem Absender frei, vor dem Einsatz der elektronischen Signatur noch eine Software zur Verschlüsselung (etwa PGP oder gnupg) einzusetzen. Die elektronische Signatur kann auf Dateien im Klartext und (inhaltlich) verschlüsselte Dateien natürlich gleichermaßen angewandt werden.