Os certificados digitais possuem níveis de segurança diferentes
Os certificados digitais do tipo A1, que significa assinatura nível de segurança 1, são instalados diretamente no computador e o do tipo A3, que significa assinatura nível de segurança 3, são instalados em dispositivos criptográficos: Cartão, token ou HSM.
Quando emitidos diretamente no computador os certificados digitais são vulneráveis porque são passíveis de cópias e o titular perde o controle de quantas pessoas tem a posse do seu certificado digital.
Adicionalmente, são registrados nos departamentos de suporte das Autoridades Certificadoras, um alto índice de perda dos certificados digitais A1, pois no caso de nova configuração ou formatação na máquina os certificados são facilmente excluídos e poucos são aqueles que seguem as sugestões de backup comunicadas no momento da emissão dos certificados.
Os certificados digitais de nível 3, são emitidos e armazenados em mídias criptográficas que impedem a exportação e não permitem cópias. Portanto, são mais seguros, já que só o portador da mídia criptográfica poderá utilizá-lo. O acesso é protegido por uma senha pessoal criada pelo titular e que não é compartilhada com mais ninguém.
Os certificados digitais A3 também proporcionam mobilidade, pois podem ser acessados em qualquer máquina em que forem acoplados. No momento da sua validação presencial eles são emitidos e tornam-se funcionais, enquanto com os certificados digitais A1 você deverá aguardar um e-mail para instalação na máquina em que foi feita a solicitação do certificado digital.
Quanto a validade, pela legislação brasileira, o certificado digital tipo A1 tem um prazo limitado a 1 ano, já o certificado digital A3 possui prazo de até 5 anos para expirar.
Na maioria dos casos os certificados digitais instalado no token ou cartão (A3) são mais indicados, pois são mais seguro uma vez que a tecnologia não permite cópias e proporciona que seu usuário tenha total controle sobre o certificado digital.
Em alguns casos, porém, o certificado digital do tipo A1 é indicado para acesso a determinada aplicação. Quem deve lhe informar sobre essa especificação são os responsáveis pela aplicação que lhe solicitou a aquisição do certificado digital.
Quando o tipo do certificado digital determina o acesso/assinatura, é informado que você deve adquirir o certificado do tipo A1 ou A3. Se não houver referência ao tipo do certificado, a escolha é o titular que vai adquirir o certificado digital.
As Autoridades Certificadoras ou Autoridades de Registro não conhecem todas as especificações técnicas das aplicações relacionadas ao tipo de certificado, uma vez que existem atualmente muitas aplicações com o uso de certificados digitais.
Isso também acontece porque quando novas aplicações surgem no mercado não existe a obrigatoriedade de que seus desenvolvedores façam a comunicação ao Instituto Nacional de Tecnologia da Informação (ITI) ou aos emissores dos certificados.