Ein Zertifikat ist eine elektronische Bescheinigung, die die Identitätsdaten einer bestimmten Person (Signator) mit einem öffentlichen Schlüssel (Public Key) verbindet. Neben zusätzlichen inhaltlichen Informationen unterscheiden sich Zertifikate insbesondere durch unterschiedliche rechtliche Anforderungen, die Garantie des Sicherheitsniveaus des Ausstellungsprozesses und der Vertrauenswürdigkeit des Ausstellers (Zertifizierungsdiensteanbieter).

Gemäß § 23 SigG haftet ein Zertifizierungsdiensteanbieter, der ein qualifiziertes Zertifikat ausstellt, unter anderem für die Richtigkeit der Angaben im qualifizierten Zertifikat zum Zeitpunkt der Ausstellung. Die Aufsicht über die Zertifizierungsdiensteanbieter obliegt der Bundesnetzagentur für Elektrizität, Gas, Telekommunikation, Post und Eisenbahnen (BNetzA).

Im Gegensatz zum einfachen Zertifikat muss ein qualifiziertes Zertifikat bestimmte Anforderungen erfüllen (§§ 5 und 7 SigG). Gemäß § 2 Z 9 SigG hat ein qualifiziertes Zertifikat zumindest folgende Angaben (§ 5 SigG) zu enthalten:

• Den Hinweis darauf, dass es sich um ein qualifiziertes Zertifikat handelt
• Den unverwechselbaren Namen des Zertifizierungsdiensteanbieters und den Staat seiner Niederlassung
• Den Namen des Signators oder ein Pseudonym, das als solches bezeichnet sein muss
• Gegebenenfalls auf Verlangen des Zertifikatswerbers Angaben über eine Vertretungsmacht oder eine andere rechtlich erhebliche Eigenschaft des Signators
• Die dem Signator zugeordneten Signaturprüfdaten (Public Key)
• Beginn und Ende der Gültigkeit des Zertifikats
• Die eindeutige Kennung des Zertifikats
• Gegebenenfalls eine Einschränkung des Anwendungsbereichs des Zertifikats
• Gebenenfalls eine Begrenzung des Transaktionswerts, auf den das Zertifikat ausgestellt ist
• Auf Verlangen des Zertifikatswerbers weitere rechtlich erhebliche Angaben

Ein qualifiziertes Zertifikat muss von einem Zertifizierungsdiensteanbieter, der die Anforderungen des § 7 SigG erfüllt (das sind beispielsweise strenge technische Auflagen, Verfahren zur Überprüfung der Identität des Antragsstellers, der Einsatz von zuverlässigem Personal sowie Vorsorge zur Befriedigung von Haftungsansprüchen zu treffen), ausgestellt sein und mit einer fortgeschrittenen Signatur des Zertifizierungsdiensteanbieters versehen sein. Darüber hinaus hat das qualifizierte Zertifikat nur eine eingeschränkte Gültigkeitsdauer. Damit wird bewirkt, dass das Zertifikat den aktuellen Technologien sowie Sicherheitsstandards entspricht.