Nach dem deutschen Signaturgesetz verliert ein qualifiziertes Zertifikat seine Gültigkeit nicht, wenn ein darüber liegendes Root- oder CA-Zertifikat abläuft oder gesperrt.

Diese Art der Prüfung der Gültigkeit von qualifizierten Zertifikaten wird als das sogenannte Kettenmodell bezeichnet. Bei einer Gültigkeitsprüfung nach dem Kettenmodell ist es wesentlich, dass das nächsthöhere Zertifikat zum Erstellungszeitpunkt der Signatur / des Zertifikats gültig ist bzw. war. Daher ist es auch erlaubt, dass der Gültigkeitszeitraum eines qualifizierten Zertifikats über die Gültigkeitsdauer des entsprechenden CA-Zertifikats hinaus geht.

Microsoft Windows und manche andere Anwendungen prüfen die Zertifikate jedoch nach dem Schalenmodell, welches, anders als das Kettenmodell, die Gültigkeit aller Zertifikate des Zertifizierungspfads zum Prüfzeitpunkt fordert. Im o.g. Fall liefert damit Windows einen falschen Status für ein qualifiziertes Zertifikat welches gemäß dem deutschen Signaturgesetz ausgestellt wurde.