Ouvrir un PDF signé et voir une bannière d'avertissement jaune indiquant que la signature n'est « non vérifiée » ou "inconnu" est alarmant, mais cela ne signifie généralement pas que la signature est fausse. Cela signifie généralement que le spectateur ne peut pas confirmer l'identité du signataire – ce qui constitue un problème différent avec une explication simple.
La différence entre vérifié et valide
Les signatures numériques PDF ont deux propriétés distinctes qui sont souvent confondues. La validité signifie que le document n'a pas été modifié depuis sa signature : le hachage cryptographique de la signature correspond au contenu du document. La vérification signifie que l'identité du signataire a été confirmée par une autorité de certification de confiance. Une signature peut être valide (inaltérée) mais non vérifiée (identité non confirmée), ce qui est le cas le plus courant pour les signatures électroniques courantes.
Le fichier "non vérifié" l'avertissement signifie généralement : la signature est cryptographiquement valide, le document n'a pas été falsifié, mais le spectateur ne reconnaît pas le certificat utilisé pour créer la signature comme provenant d'une autorité de confiance.
Essayez de signer PDF
Aucune installation nécessaire. Fonctionne directement dans votre navigateur.
Pourquoi la plupart des signatures électroniques s'affichent comme non vérifiées
Les signatures électroniques simples (noms tapés, signatures dessinées ou images de signature placées sur un PDF) n'utilisent pas du tout de certificats cryptographiques. Ce sont des images placées sur la page, pas des opérations cryptographiques. La validation de signature d'Adobe Reader s'applique uniquement aux signatures numériques cryptographiques avec certificats. Une signature tapée ou dessinée n'est qu'une image ; le "non vérifié" l'avertissement ne s'applique pas à ceux-ci car il n'y a pas de certificat à vérifier.
Si vous voyez un message « non vérifié » avertissement, la signature a été créée en tant que signature numérique cryptographique, mais en utilisant un certificat auto-signé (non émis par une autorité de certification reconnue) ou un certificat d'une autorité ne figurant pas dans la liste de confiance du spectateur.
Certificats auto-signés
N'importe qui peut créer un certificat numérique et signer un PDF avec. Un certificat auto-signé prouve que le document n'a pas changé depuis la signature, mais ne prouve pas qui est le signataire, car n'importe qui peut créer un certificat sous n'importe quel nom. Les navigateurs et les visualiseurs PDF ne font pas confiance aux certificats auto-signés par défaut, d'où l'avertissement non vérifié.
Si vous faites confiance à l’expéditeur et que vous avez simplement besoin de confirmer que le document est intact, c’est le statut de validité qui compte. Cliquez avec le bouton droit sur la signature dans Adobe Reader → Propriétés de la signature → cliquez sur « Afficher le certificat ». pour voir les détails du certificat et déterminer s'il s'agit bien du signataire que vous attendiez.
Quand la vérification compte réellement
Pour la plupart des contrats commerciaux, des NDA et des accords quotidiens, le statut de vérification d'une signature numérique est moins important que d'avoir un enregistrement clair de qui a signé, quand et ce qu'il a signé. Un fil de discussion montrant le PDF signé renvoyé par l'adresse e-mail connue du signataire constitue une preuve solide d'accord, quel que soit le statut du certificat.
La vérification est importante dans des contextes réglementés spécifiques : soumissions de documents gouvernementaux qui nécessitent des signatures certifiées, transactions financières nécessitant une identité vérifiée, documents juridiques où la signature doit être attribuable à une personne identifiée spécifique. Dans ces cas, un certificat émis par une autorité de certification (AC) de confiance telle que DocuSign, Adobe Sign ou un fournisseur de services de confiance qualifié fournit la chaîne d'identité vérifiable qui satisfait à l'exigence.
Comment obtenir une signature vérifiée
Pour les signatures qui doivent s'afficher comme vérifiées dans les visionneuses PDF, le signataire a besoin d'un certificat numérique émis par une autorité de certification figurant dans la liste de confiance approuvée d'Adobe (AATL) ou dans le magasin racine de confiance de la visionneuse. Ces certificats sont obtenus auprès d'autorités de certification commerciales (DigiCert, GlobalSign, Comodo) ou via des plateformes de signature électronique dédiées qui fournissent des certificats de signature à leurs utilisateurs dans le cadre du service.
Les plates-formes de signature électronique telles que DocuSign et Adobe Sign utilisent des certificats soutenus par une autorité de certification, c'est pourquoi leurs signatures Sign PDF s'affichent généralement comme vérifiées. Pour la signature quotidienne de documents sans ces plateformes, une signature non vérifiée mais valide est suffisante dans la plupart des cas et l'avertissement de vérification peut être compris dans son contexte plutôt que traité comme une preuve d'un problème.
Essayez de signer PDF
Aucune installation nécessaire. Fonctionne directement dans votre navigateur.