Certum na podstawie decyzji Ministra Gospodarki będzie mogło wystawiać kwalifikowane certyfikaty atrybutów.
Certyfikaty atrybutów (RFC 3281), których nie należy mylić z atrybutami podpisu (par. 2, ust. 4 Ustawy o podpisie), to dodatkowe poświadczenie określonych uprawnień przypisanych do osoby. O ile certyfikat X.509 poświadcza związek tożsamości osoby z jej kluczem publicznym i spełniają funkcje identyfikacji oraz uwierzytelnienia, o tyle certyfikaty atrybutów spełniają funkcję autoryzacji, czyli poświadczenia prawa osoby wskazanej w polu Holder certyfikatu do wykonania określonej czynności.
Wyróżnia się następujące rodzaje atrybutów:
- dostęp do usługi (Service Authentication Information) - atrybut może być formą kontenera przechowującego zaszyfrowane dane umożliwiające dostęp do usługi sieciowej (np. login i hasło),
- identyfikacja wobec usługi (Access Identity) - atrybut może zawierać specyficzne dla danej usługi informacje, identyfikujące użytkownika na jej potrzeby (ale bez danych uwierzytelniających),
- dane billingowe (Charging Identity) - w sytuacji gdy za usługę obciążany ma być kto inny niż posiadacz certyfikatu X.509,
- przynależność do grupy (Group)
- przypisana rola (Role)
- poziom dostępu do informacji niejawnej (Clearance)
Poza wyżej opisany certyfikatami atrybutów Certum uzyskało zgodę Centrast na świadczenie innych usług certyfikacyjnych: walidacji danych, poświadczenia odbioru i przedłożenia, poświadczeń depozytowych oraz poświadczeń rejestrowych i repozytoryjnych. Usługi te zostały wpisane do rejestru kwalifikowanych podmiotów świadczących usługi certyfikacyjne.
Należy pamiętać, że sam wpis do rejestru nie oznacza ani konieczności ani możliwości stosowania certyfikatów atrybutów i pozostałych usług do czegokolwiek ze względu na faktyczny brak osadzenia ich w polskim prawie, przynajmniej według stanu prawnego na październik 2007.