Abrir um PDF assinado e ver um banner amarelo de aviso informando que a assinatura é "não verificada" ou "desconhecido" é alarmante, mas geralmente não significa que a assinatura seja falsa. Normalmente significa que o visualizador não pode confirmar a identidade do signatário – o que é um problema diferente com uma explicação direta.
A diferença entre verificado e válido
As assinaturas digitais PDF têm duas propriedades distintas que são frequentemente confundidas. Validade significa que o documento não foi alterado desde que foi assinado — o hash criptográfico da assinatura corresponde ao conteúdo do documento. Verificação significa que a identidade do signatário foi confirmada por uma autoridade de certificação confiável. Uma assinatura pode ser válida (inalterada), mas não verificada (identidade não confirmada), que é o caso mais comum para assinaturas eletrônicas cotidianas.
O teste "não verificado" aviso geralmente significa: a assinatura é criptograficamente válida, o documento não foi adulterado, mas o visualizador não reconhece o certificado usado para criar a assinatura como proveniente de uma autoridade confiável.
Experimente assinar PDF
Nenhuma instalação necessária. Funciona diretamente no seu navegador.
Por que a maioria das assinaturas eletrônicas aparecem como não verificadas
Assinaturas eletrônicas simples – nomes digitados, assinaturas desenhadas ou imagens de assinatura colocadas em um PDF – não usam certificados criptográficos. São imagens colocadas na página, não operações criptográficas. A validação de assinatura do Adobe Reader se aplica apenas a assinaturas digitais criptográficas com certificados. Uma assinatura digitada ou desenhada é apenas uma imagem; o "não verificado" o aviso não se aplica a eles porque não há certificado para verificar.
Se você estiver vendo uma mensagem "não verificada" aviso, a assinatura foi criada como uma assinatura digital criptográfica - mas usando um certificado autoassinado (um não emitido por uma autoridade de certificação reconhecida) ou um certificado de uma autoridade que não está na lista de confiança do visualizador.
Certificados autoassinados
Qualquer pessoa pode criar um certificado digital e assinar um PDF com ele. Um certificado autoassinado prova que o documento não mudou desde a assinatura, mas não prova quem é o signatário — porque qualquer pessoa pode criar um certificado com qualquer nome. Os navegadores e visualizadores de PDF não confiam em certificados autoassinados por padrão, daí o aviso não verificado.
Se você confia no remetente e precisa apenas confirmar se o documento está intacto, o que importa é o status de validade. Clique com o botão direito na assinatura no Adobe Reader → Propriedades da assinatura → clique em "Mostrar certificado" para ver os detalhes do certificado e determinar se é o signatário que você esperava.
Quando a verificação realmente importa
Para a maioria dos contratos comerciais, NDAs e acordos cotidianos, o status de verificação de uma assinatura digital é menos importante do que ter um registro claro de quem assinou, quando e o que assinou. Uma conversa por e-mail mostrando o PDF assinado retornado do endereço de e-mail conhecido do signatário é uma forte evidência de acordo, independentemente do status do certificado.
A verificação é importante em contextos regulamentados específicos: envios de documentos governamentais que exigem assinaturas certificadas, transações financeiras que exigem identidade verificada, registros legais em que a assinatura deve ser atribuível a um indivíduo específico identificado. Nesses casos, um certificado de uma autoridade de certificação (CA) confiável, como DocuSign, Adobe Sign ou um provedor de serviços de confiança qualificado, fornece a cadeia de identidade verificável que atende ao requisito.
Como obter uma assinatura verificada
Para assinaturas que devem ser exibidas como verificadas em visualizadores PDF, o signatário precisa de um certificado digital emitido por uma autoridade de certificação que esteja na Lista de confiança aprovada (AATL) da Adobe ou no armazenamento raiz confiável do visualizador. Esses certificados são obtidos de CAs comerciais (DigiCert, GlobalSign, Comodo) ou por meio de plataformas dedicadas de assinatura eletrônica que fornecem certificados de assinatura aos seus usuários como parte do serviço.
Plataformas de assinatura eletrônica como DocuSign e Adobe Sign usam certificados apoiados por CA, e é por isso que suas assinaturas Sign PDF normalmente aparecem como verificadas. Para a assinatura diária de documentos sem essas plataformas, uma assinatura não verificada, mas válida, é suficiente para a maioria dos propósitos e o aviso de verificação pode ser entendido no contexto, em vez de tratado como evidência de um problema.
Experimente assinar PDF
Nenhuma instalação necessária. Funciona diretamente no seu navegador.