Als u een ondertekende PDF opent en een gele waarschuwingsbanner ziet met de mededeling dat de handtekening "niet geverifieerd" of "onbekend" is alarmerend, maar betekent meestal niet dat de handtekening vals is. Het betekent doorgaans dat de kijker de identiteit van de ondertekenaar niet kan bevestigen – wat een ander probleem is met een eenvoudige uitleg.
Het verschil tussen geverifieerd en geldig
PDF digitale handtekeningen hebben twee afzonderlijke eigenschappen die vaak met elkaar worden verward. Geldigheid betekent dat het document niet is gewijzigd sinds het is ondertekend: de cryptografische hash van de handtekening komt overeen met de documentinhoud. Verificatie betekent dat de identiteit van de ondertekenaar is bevestigd door een vertrouwde certificeringsinstantie. Een handtekening kan geldig zijn (ongewijzigd), maar niet geverifieerd (identiteit niet bevestigd), wat het meest voorkomende geval is bij alledaagse elektronische handtekeningen.
De "niet-geverifieerde" waarschuwing betekent meestal: de handtekening is cryptografisch geldig, er is niet met het document geknoeid, maar de kijker herkent het certificaat dat is gebruikt om de handtekening te maken niet als afkomstig van een vertrouwde autoriteit.
Waarom de meeste elektronische handtekeningen als niet-geverifieerd worden weergegeven
Eenvoudige elektronische handtekeningen (getypte namen, getekende handtekeningen of handtekeningafbeeldingen geplaatst op een PDF) maken helemaal geen gebruik van cryptografische certificaten. Het zijn afbeeldingen die op de pagina worden geplaatst, geen cryptografische bewerkingen. De handtekeningvalidatie van Adobe Reader is alleen van toepassing op cryptografische digitale handtekeningen met certificaten. Een getypte of getekende handtekening is slechts een afbeelding; de "niet-geverifieerde" waarschuwing is hierop niet van toepassing omdat er geen certificaat is om te verifiëren.
Als u een "niet-geverifieerde" waarschuwing: de handtekening is gemaakt als een cryptografische digitale handtekening, maar met behulp van een zelfondertekend certificaat (een certificaat dat niet is uitgegeven door een erkende certificeringsinstantie) of een certificaat van een autoriteit die niet in de vertrouwenslijst van de kijker staat.
Zelfondertekende certificaten
Iedereen kan een digitaal certificaat maken en daarmee een PDF ondertekenen. Een zelfondertekend certificaat bewijst dat het document sinds de ondertekening niet is veranderd, maar bewijst niet wie de ondertekenaar is, omdat iedereen een certificaat met elke naam kan maken. Browsers en PDF-viewers vertrouwen standaard niet op zelfondertekende certificaten, vandaar de niet-geverifieerde waarschuwing.
Als u de afzender vertrouwt en alleen maar wilt bevestigen dat het document intact is, is de geldigheidsstatus van belang. Klik met de rechtermuisknop op de handtekening in Adobe Reader → Handtekeningeigenschappen → klik op "Certificaat tonen" om de certificaatgegevens te bekijken en te bepalen of dit de ondertekenaar is die u verwachtte.
Wanneer verificatie er echt toe doet
Voor de meeste zakelijke contracten, NDA's en alledaagse overeenkomsten is de verificatiestatus van een digitale handtekening minder belangrijk dan het hebben van een duidelijk overzicht van wie heeft ondertekend, wanneer en wat ze hebben ondertekend. Een e-mailthread met de ondertekende PDF die wordt geretourneerd vanaf het bekende e-mailadres van de ondertekenaar is een sterk bewijs van instemming, ongeacht de certificaatstatus.
Verificatie is van belang in specifieke gereguleerde contexten: indiening van overheidsdocumenten waarvoor gecertificeerde handtekeningen vereist zijn, financiële transacties waarvoor een geverifieerde identiteit vereist is, juridische dossiers waarbij de handtekening moet kunnen worden toegeschreven aan een specifiek geïdentificeerd individu. In deze gevallen biedt een certificaat van een vertrouwde certificeringsinstantie (CA) zoals DocuSign, Adobe Sign of een gekwalificeerde aanbieder van vertrouwensdiensten de verifieerbare identiteitsketen die aan de vereiste voldoet.
Een geverifieerde handtekening verkrijgen
Voor handtekeningen die in PDF-viewers als geverifieerd moeten worden weergegeven, heeft de ondertekenaar een digitaal certificaat nodig dat is uitgegeven door een certificeringsinstantie die in de Approved Trust List (AATL) van Adobe of in het vertrouwde rootarchief van de viewer staat. Deze certificaten worden verkregen van commerciële CA's (DigiCert, GlobalSign, Comodo) of via speciale platforms voor elektronische handtekeningen die ondertekeningscertificaten aan hun gebruikers verstrekken als onderdeel van de service.
Platformen voor elektronische handtekeningen, zoals DocuSign en Adobe Sign, gebruiken door CA ondersteunde certificaten. Daarom worden hun Sign PDF-handtekeningen doorgaans als geverifieerd weergegeven. Voor het dagelijks ondertekenen van documenten zonder deze platforms is een niet-geverifieerde, maar geldige handtekening voor de meeste doeleinden voldoende en kan de verificatiewaarschuwing in de context worden begrepen in plaats van te worden behandeld als bewijs van een probleem.