Otwieranie podpisanego pliku PDF i zobaczenie żółtego banera ostrzegawczego informującego, że podpis jest „niezweryfikowany”; lub „nieznany” jest niepokojące, ale zwykle nie oznacza, że podpis jest fałszywy. Zwykle oznacza to, że widz nie może potwierdzić tożsamości osoby podpisującej – co jest innym problemem, który można łatwo wyjaśnić.
Różnica między zweryfikowaną a prawidłową
PDF podpisy cyfrowe mają dwie odrębne właściwości, które często są mylone. Ważność oznacza, że dokument nie został zmieniony od czasu podpisania – skrót kryptograficzny podpisu jest zgodny z treścią dokumentu. Weryfikacja oznacza, że tożsamość osoby podpisującej została potwierdzona przez zaufany urząd certyfikacji. Podpis może być ważny (niezmieniony) ale niezweryfikowany (tożsamość niepotwierdzona), co jest najczęstszym przypadkiem w przypadku codziennych podpisów elektronicznych.
„Niezweryfikowany” ostrzeżenie zwykle oznacza: podpis jest poprawny kryptograficznie, dokument nie został naruszony, ale osoba przeglądająca nie rozpoznaje certyfikatu użytego do utworzenia podpisu jako pochodzącego od zaufanego organu.
Spróbuj podpisać PDF
Nie wymaga instalacji. Działa bezpośrednio w Twojej przeglądarce.
Dlaczego większość podpisów elektronicznych jest wyświetlana jako niezweryfikowana
Proste podpisy elektroniczne — imiona i nazwiska wpisywane na maszynie, podpisy rysowane lub obrazy podpisów umieszczane w pliku PDF — w ogóle nie korzystają z certyfikatów kryptograficznych. Są to obrazy umieszczane na stronie, a nie operacje kryptograficzne. Weryfikacja podpisu programu Adobe Reader dotyczy wyłącznie kryptograficznych podpisów cyfrowych z certyfikatami. Podpis wpisany lub narysowany to po prostu obraz; „niezweryfikowany” ostrzeżenie nie ma do nich zastosowania, ponieważ nie ma certyfikatu do sprawdzenia.
Jeśli widzisz komunikat „niezweryfikowany” ostrzeżenie, podpis został utworzony jako kryptograficzny podpis cyfrowy, ale przy użyciu certyfikatu z podpisem własnym (niewydanego przez uznany urząd certyfikacji) lub certyfikatu organu spoza listy zaufanych osób przeglądających.
Certyfikaty z podpisem własnym
Każdy może utworzyć certyfikat cyfrowy i podpisać nim plik PDF. Certyfikat z podpisem własnym dowodzi, że dokument nie zmienił się od czasu podpisania, ale nie dowodzi, kim jest osoba podpisująca — ponieważ każdy może utworzyć certyfikat o dowolnej nazwie. Przeglądarki i przeglądarki PDF domyślnie nie ufają certyfikatom z podpisem własnym, stąd niezweryfikowane ostrzeżenie.
Jeśli ufasz nadawcy i chcesz tylko potwierdzić, że dokument jest nienaruszony, liczy się status ważności. Kliknij podpis prawym przyciskiem myszy w programie Adobe Reader → Właściwości podpisu → kliknij opcję „Pokaż certyfikat”. , aby zobaczyć szczegóły certyfikatu i określić, czy jest to oczekiwany podpisujący.
Kiedy weryfikacja naprawdę ma znaczenie
W przypadku większości umów biznesowych, NDA i umów codziennych status weryfikacji podpisu cyfrowego jest mniej ważny niż posiadanie jasnego zapisu, kto, kiedy i co podpisał. Wątek wiadomości e-mail przedstawiający podpisany plik PDF zwrócony ze znanego adresu e-mail osoby podpisującej jest mocnym dowodem zawarcia umowy niezależnie od statusu certyfikatu.
Weryfikacja ma znaczenie w określonych, regulowanych kontekstach: składanie dokumentów rządowych wymagających podpisów certyfikowanych, transakcje finansowe wymagające zweryfikowanej tożsamości, zgłoszenia prawne, w przypadku których podpis musi być przypisany konkretnej zidentyfikowanej osobie. W takich przypadkach certyfikat wystawiony przez zaufany urząd certyfikacji (CA), taki jak DocuSign, Adobe Sign lub kwalifikowany dostawca usług zaufania, zapewnia możliwy do sprawdzenia łańcuch tożsamości spełniający wymagania.
Jak uzyskać podpis zweryfikowany
W przypadku podpisów, które powinny być wyświetlane jako zweryfikowane w przeglądarkach PDF, osoba podpisująca potrzebuje certyfikatu cyfrowego wydanego przez urząd certyfikacji znajdujący się na liście zatwierdzonych zaufanych firm Adobe (AATL) lub w zaufanym magazynie głównym osoby przeglądającej. Certyfikaty te pozyskiwane są od komercyjnych urzędów certyfikacji (DigiCert, GlobalSign, Comodo) lub za pośrednictwem dedykowanych platform podpisu elektronicznego, które w ramach usługi udostępniają swoim użytkownikom certyfikaty podpisywania.
Platformy podpisów elektronicznych, takie jak DocuSign i Adobe Sign, korzystają z certyfikatów wspieranych przez urząd certyfikacji, dlatego ich podpisy Sign PDF są zwykle wyświetlane jako zweryfikowane. Do codziennego podpisywania dokumentów bez tych platform w większości przypadków wystarczający jest niezweryfikowany, ale ważny podpis, a ostrzeżenie dotyczące weryfikacji można rozumieć w kontekście, a nie traktować jako dowód problemu.
Spróbuj podpisać PDF
Nie wymaga instalacji. Działa bezpośrednio w Twojej przeglądarce.