1. Използването на електронен подпис не гарантира еднозначно самоличността на титуляра на подписа:
Процедурата за издаване на електронен подпис не гарантира напълно отсъствието на копия на използвания за подписването криптографски ключ. Стандартната практика е титулярът да получава смарт карта, където ключът е вече записан. Тъй като не е предвидена възможност за контрол — дали ключът е генериран от самата карта, или е създаден извън нея и записан впоследствие — съществува теоретическа и практическа възможност удостоверителят или негов служител да се сдобият с копие на ключа. Единствените гаранции за отсъствието на копия са юридически (забрана в текста на закона).
2. Не е създаден механизъм за удостоверяване на подписите на удостоверителите:
Вместо изискваните по закон сертификати, подписани от КРС, регистрираните удостоверители използват самоподписани. Не е предвиден практически приложим стандартен начин за дистанционно получаване на гарантирано автентични копия от тези сертификати. Както КРС, така и самите удостоверители инструктират онези, които желаят да се сдобият с копие на сертификатите, да ги инсталират ръчно от сайтовете на удостоверителите. При това се използва или незащитена връзка или връзка, защитена чрез сървърен сертификат, удостоверен със същия самоподписан сертификат, чиято автентичност трябва да бъде проверена. За желаещите да се сдобият с копия на сертификатите е възможно ежегодно лично да ги получават в офиса на всеки от регистрираните удостоверители, но поради липсата на удостоверяване от страна на КРС този вариант също не гарантира безспорно автентичността им.
В резултат на тези проблеми използването на електронни подписи и сървърни сертификати по смисъла на ЗЕДЕП е неприложимо като метод за практическо удостоверяване на самоличност. Действащото законодателство обаче постановява, че титулярът носи отговорност за всяко действие, подписано с копие на ключа му. Аналогично всеки, който инсталира непроверени, самоподписани сертификати, отговаря сам за евентуалните последици от действията си. Това позволява системата да се използва както от държавната администрация, така и от множество фирми, които предлагат услуги, изискващи удостоверяване на самоличността, въпреки непълноценната ѝ реализация.
Процедурата за издаване на електронен подпис не гарантира напълно отсъствието на копия на използвания за подписването криптографски ключ. Стандартната практика е титулярът да получава смарт карта, където ключът е вече записан. Тъй като не е предвидена възможност за контрол — дали ключът е генериран от самата карта, или е създаден извън нея и записан впоследствие — съществува теоретическа и практическа възможност удостоверителят или негов служител да се сдобият с копие на ключа. Единствените гаранции за отсъствието на копия са юридически (забрана в текста на закона).
2. Не е създаден механизъм за удостоверяване на подписите на удостоверителите:
Вместо изискваните по закон сертификати, подписани от КРС, регистрираните удостоверители използват самоподписани. Не е предвиден практически приложим стандартен начин за дистанционно получаване на гарантирано автентични копия от тези сертификати. Както КРС, така и самите удостоверители инструктират онези, които желаят да се сдобият с копие на сертификатите, да ги инсталират ръчно от сайтовете на удостоверителите. При това се използва или незащитена връзка или връзка, защитена чрез сървърен сертификат, удостоверен със същия самоподписан сертификат, чиято автентичност трябва да бъде проверена. За желаещите да се сдобият с копия на сертификатите е възможно ежегодно лично да ги получават в офиса на всеки от регистрираните удостоверители, но поради липсата на удостоверяване от страна на КРС този вариант също не гарантира безспорно автентичността им.
В резултат на тези проблеми използването на електронни подписи и сървърни сертификати по смисъла на ЗЕДЕП е неприложимо като метод за практическо удостоверяване на самоличност. Действащото законодателство обаче постановява, че титулярът носи отговорност за всяко действие, подписано с копие на ключа му. Аналогично всеки, който инсталира непроверени, самоподписани сертификати, отговаря сам за евентуалните последици от действията си. Това позволява системата да се използва както от държавната администрация, така и от множество фирми, които предлагат услуги, изискващи удостоверяване на самоличността, въпреки непълноценната ѝ реализация.