打开已签名的 PDF 并看到黄色警告横幅,指出签名“未经验证”或“未知”令人震惊,但这通常并不意味着签名是假的。这通常意味着查看者无法确认签名者的身份——这是一个不同的问题,需要简单的解释。
已验证和有效之间的区别
PDF 数字签名有两个经常被混淆的独立属性。有效性意味着文档自签名以来未曾更改 - 签名的加密哈希与文档内容匹配。验证意味着签名者的身份已得到受信任的证书颁发机构的确认。签名可能有效(未更改)但未经验证(身份未确认),这是日常电子签名最常见的情况。
“未经证实的”警告通常意味着:签名在加密上是有效的,文档尚未被篡改,但查看者无法识别用于创建签名的证书是否来自受信任的机构。
为什么大多数电子签名显示为未经验证
简单的电子签名(键入的名称、绘制的签名或放置在 PDF 上的签名图像)根本不使用加密证书。它们是放置在页面上的图像,而不是加密操作。 Adobe Reader 的签名验证仅适用于带有证书的加密数字签名。打印或绘制的签名只是一个图像; “未经验证的”警告不适用于这些,因为没有证书可供验证。
如果您看到“未经验证”警告,签名是作为加密数字签名创建的 - 但使用自签名证书(不是由公认的证书颁发机构颁发的)或来自不在查看者信任列表中的颁发机构的证书。
自签名证书
任何人都可以创建数字证书并用它签署 PDF。自签名证书证明文档自签名以来没有更改,但不能证明签名者是谁 - 因为任何人都可以使用任何名称创建证书。默认情况下,浏览器和 PDF 查看器不信任自签名证书,因此会出现未经验证的警告。
如果您信任发件人并且只需要确认文件完好无损,那么有效性状态才是重要的。在 Adobe Reader 中右键单击签名 → 签名属性 → 单击“显示证书”查看证书详细信息并确定是否是您期望的签名者。
当验证真正重要时
对于大多数商业合同、保密协议和日常协议来说,数字签名的验证状态并不重要,重要的是清楚地记录谁签署、何时签署以及签署了什么内容。显示从签名者的已知电子邮件地址返回的已签名 PDF 的电子邮件线程是协议的有力证据,无论证书状态如何。
验证在特定监管环境中很重要:需要经过认证的签名的政府文件提交、需要验证身份的金融交易、签名必须归属于特定身份个人的法律文件。在这些情况下,来自受信任的证书颁发机构 (CA)(例如 DocuSign、Adobe Sign)或合格的信任服务提供商的证书可提供满足要求的可验证身份链。
如何获取经过验证的签名
对于应在 PDF 查看器中显示为已验证的签名,签名者需要由 Adobe 批准的信任列表 (AATL) 或查看器的受信任根存储中的证书颁发机构颁发的数字证书。这些证书是从商业 CA(DigiCert、GlobalSign、Comodo)获得的,或者通过专门的电子签名平台获得的,这些平台作为服务的一部分向用户提供签名证书。
DocuSign 和 Adobe Sign 等电子签名平台使用 CA 支持的证书,这就是为什么它们的 Sign PDF 签名通常显示为已验证。对于没有这些平台的日常文档签名,未经验证但有效的签名足以满足大多数目的,并且验证警告可以在上下文中理解,而不是被视为问题的证据。