Al abrir un PDF firmado y ver un cartel de advertencia amarillo que dice que la firma "no está verificada" o "desconocido" Es alarmante, pero normalmente no significa que la firma sea falsa. Por lo general, significa que el espectador no puede confirmar la identidad del firmante, lo cual es un problema diferente con una explicación sencilla.
La diferencia entre verificado y válido
Las firmas digitales PDF tienen dos propiedades separadas que a menudo se confunden. Validez significa que el documento no ha cambiado desde que fue firmado: el hash criptográfico de la firma coincide con el contenido del documento. Verificación significa que la identidad del firmante ha sido confirmada por una autoridad certificadora confiable. Una firma puede ser válida (inalterada) pero no verificada (identidad no confirmada), que es el caso más común en las firmas electrónicas cotidianas.
El código "no verificado" La advertencia generalmente significa: la firma es criptográficamente válida, el documento no ha sido manipulado, pero el espectador no reconoce que el certificado utilizado para crear la firma proviene de una autoridad confiable.
Por qué la mayoría de las firmas electrónicas aparecen como no verificadas
Las firmas electrónicas simples (nombres escritos, firmas dibujadas o imágenes de firmas colocadas en un PDF) no utilizan certificados criptográficos en absoluto. Son imágenes colocadas en la página, no operaciones criptográficas. La validación de firmas de Adobe Reader sólo se aplica a firmas digitales criptográficas con certificados. Una firma mecanografiada o dibujada es sólo una imagen; el código "no verificado" La advertencia no se aplica a estos porque no hay ningún certificado para verificar.
Si ves un mensaje "no verificado" Advertencia, la firma se creó como una firma digital criptográfica, pero utilizando un certificado autofirmado (uno no emitido por una autoridad certificadora reconocida) o un certificado de una autoridad que no está en la lista de confianza del espectador.
Certificados autofirmados
Cualquiera puede crear un certificado digital y firmar un PDF con él. Un certificado autofirmado demuestra que el documento no ha cambiado desde su firma, pero no prueba quién es el firmante, porque cualquiera puede crear un certificado con cualquier nombre. Los navegadores y los visores de PDF no confían en los certificados autofirmados de forma predeterminada, de ahí la advertencia no verificada.
Si confía en el remitente y sólo necesita confirmar que el documento está intacto, lo que importa es el estado de validez. Haga clic derecho en la firma en Adobe Reader → Propiedades de la firma → haga clic en "Mostrar certificado" para ver los detalles del certificado y determinar si es el firmante que esperaba.
Cuando la verificación realmente importa
Para la mayoría de los contratos comerciales, NDA y acuerdos cotidianos, el estado de verificación de una firma digital es menos importante que tener un registro claro de quién firmó, cuándo y qué firmó. Un hilo de correo electrónico que muestre el PDF firmado devuelto por la dirección de correo electrónico conocida del firmante es una prueba sólida del acuerdo, independientemente del estado del certificado.
La verificación es importante en contextos regulados específicos: presentaciones de documentos gubernamentales que requieren firmas certificadas, transacciones financieras que requieren identidad verificada, presentaciones legales donde la firma debe ser atribuible a una persona identificada específica. En estos casos, un certificado de una autoridad de certificación (CA) confiable como DocuSign, Adobe Sign o un proveedor de servicios de confianza calificado proporciona la cadena de identidad verificable que satisface el requisito.
Cómo obtener una firma verificada
Para las firmas que deben mostrarse como verificadas en los visores PDF, el firmante necesita un certificado digital emitido por una autoridad de certificación que esté en la Lista de confianza aprobada (AATL) de Adobe o el almacén raíz de confianza del visor. Estos certificados se obtienen de CA comerciales (DigiCert, GlobalSign, Comodo) o mediante plataformas de firma electrónica dedicadas que proporcionan certificados de firma a sus usuarios como parte del servicio.
Las plataformas de firma electrónica como DocuSign y Adobe Sign utilizan certificados respaldados por CA, por lo que sus firmas Sign PDF generalmente se muestran como verificadas. Para la firma diaria de documentos sin estas plataformas, una firma no verificada pero válida es suficiente para la mayoría de los propósitos y la advertencia de verificación puede entenderse en contexto en lugar de tratarse como evidencia de un problema.