Открыв подписанный PDF и увидев желтый предупреждающий баннер о том, что подпись «не проверена»; или «неизвестно»; вызывает тревогу, но обычно это не означает, что подпись фальшивая. Обычно это означает, что зритель не может подтвердить личность подписавшего — это другая проблема с простым объяснением.
Разница между проверенным и действительным
Цифровые подписи PDF имеют два отдельных свойства, которые часто путают. Валидность означает, что документ не менялся с момента его подписания — криптографический хэш подписи соответствует содержимому документа. Проверка означает, что личность подписывающего лица подтверждена доверенным центром сертификации. Подпись может быть действующей (неизменной), но непроверенной (личность не подтверждена), что является наиболее распространенным случаем для повседневных электронных подписей.
«Непроверенный»; предупреждение обычно означает: подпись криптографически действительна, документ не был подделан, но средство просмотра не распознает сертификат, использованный для создания подписи, как исходящий от доверенного центра.
Почему большинство электронных подписей отображаются как непроверенные
Простые электронные подписи — напечатанные имена, нарисованные подписи или изображения подписей, помещенные в PDF — вообще не используют криптографические сертификаты. Это изображения, размещенные на странице, а не криптографические операции. Проверка подписи Adobe Reader применяется только к криптографическим цифровым подписям с сертификатами. Напечатанная или нарисованная подпись — это всего лишь изображение; «непроверенный»; предупреждение к ним не относится, поскольку нет сертификата для проверки.
Если вы видите сообщение «непроверенный»; предупреждение: подпись была создана как криптографическая цифровая подпись, но с использованием самозаверяющего сертификата (не выданного признанным центром сертификации) или сертификата органа, не входящего в список доверия зрителя.
Самоподписанные сертификаты
Любой может создать цифровой сертификат и подписать им PDF. Самозаверяющий сертификат доказывает, что документ не менялся с момента подписания, но не доказывает, кто является подписавшим, поскольку любой может создать сертификат с любым именем. Браузеры и программы просмотра PDF по умолчанию не доверяют самозаверяющим сертификатам, поэтому появляется непроверенное предупреждение.
Если вы доверяете отправителю и вам просто нужно убедиться, что документ не поврежден, статус действительности имеет значение. Щелкните правой кнопкой мыши подпись в Adobe Reader → Свойства подписи → нажмите «Показать сертификат». , чтобы просмотреть сведения о сертификате и определить, является ли это той подписывающей стороной, которую вы ожидали.
Когда проверка действительно имеет значение
Для большинства деловых контрактов, соглашений о неразглашении и повседневных соглашений статус проверки цифровой подписи менее важен, чем наличие четкой записи о том, кто, когда и что подписал. Ветка электронной почты, показывающая подписанный PDF, возвращенный с известного адреса электронной почты подписавшего, является убедительным доказательством соглашения независимо от статуса сертификата.
Проверка имеет значение в конкретных регулируемых контекстах: подача правительственных документов, требующих заверенных подписей, финансовые операции, требующие подтверждения личности, юридические документы, где подпись должна принадлежать конкретному идентифицированному лицу. В этих случаях сертификат доверенного центра сертификации (CA), такого как DocuSign, Adobe Sign, или квалифицированного поставщика услуг доверия, обеспечивает проверяемую цепочку удостоверений, удовлетворяющую требованию.
Как получить проверенную подпись
Для подписей, которые должны отображаться как проверенные в средствах просмотра PDF, подписывающему лицу необходим цифровой сертификат, выданный центром сертификации, который находится в одобренном списке доверия Adobe (AATL) или в доверенном корневом хранилище средства просмотра. Эти сертификаты можно получить от коммерческих центров сертификации (DigiCert, GlobalSign, Comodo) или через специализированные платформы электронной подписи, которые предоставляют сертификаты подписи своим пользователям в рамках услуги.
Платформы электронной подписи, такие как DocuSign и Adobe Sign, используют сертификаты, поддерживаемые центром сертификации, поэтому их подписи Sign PDF обычно отображаются как проверенные. Для повседневного подписания документов без этих платформ непроверенной, но действительной подписи достаточно для большинства целей, а предупреждение о проверке можно понимать в контексте, а не рассматривать как свидетельство проблемы.