打開已簽名的 PDF 並看到黃色警告橫幅,指出簽名“未經驗證”或“未知”令人震驚,但這通常並不意味著簽名是假的。這通常意味著查看者無法確認簽名者的身份——這是一個不同的問題,需要簡單的解釋。
已驗證與有效之間的區別
PDF 數位簽章有兩個經常被混淆的獨立屬性。有效性意味著文檔自簽名以來未曾更改 - 簽名的加密哈希與文檔內容匹配。驗證表示簽署者的身分已獲得受信任的憑證授權單位的確認。簽名可能有效(未更改)但未經驗證(身份未確認),這是日常電子簽名最常見的情況。
「未經證實的」警告通常意味著:簽名在加密上是有效的,文件尚未被篡改,但檢視者無法識別用於建立簽署的憑證是否來自受信任的機構。
為什麼大多數電子簽章顯示為未經驗證
簡單的電子簽名(鍵入的名稱、繪製的簽名或放置在 PDF 上的簽名影像)完全不使用加密憑證。它們是放置在頁面上的圖像,而不是加密操作。 Adobe Reader 的簽章驗證僅適用於具有憑證的加密數位簽章。印刷或繪製的簽名只是一個圖像; “未經驗證的”警告不適用於這些,因為沒有證書可供驗證。
如果您看到「未經驗證」警告,簽名是作為加密數位簽章建立的 - 但使用自簽名憑證(不是由公認的憑證授權單位核發的)或來自不在檢視者信任清單中的核發機構的憑證。
自簽章憑證
任何人都可以建立數位憑證並用它簽署 PDF。自簽名證書證明文件自簽名以來沒有更改,但不能證明簽名者是誰 - 因為任何人都可以使用任何名稱創建證書。預設情況下,瀏覽器和 PDF 檢視器不信任自簽名證書,因此會出現未經驗證的警告。
如果您信任寄件者並且只需要確認文件完好無損,那麼有效性狀態才是重要的。在 Adobe Reader 中右鍵按一下簽章 → 簽章屬性 → 按一下「顯示憑證」以查看憑證詳細資料並確定是否是您期望的簽署者。
當驗證真正重要時
對於大多數商業合約、保密協議和日常協議來說,數位簽章的驗證狀態並不重要,重要的是清楚記錄誰簽署、何時簽署以及簽署了什麼內容。顯示從簽名者的已知電子郵件地址返回的已簽署 PDF 的電子郵件線程是協議的有力證據,無論證書狀態如何。
驗證在特定監管環境中很重要:需要經過認證的簽署的政府文件提交、需要驗證身分的金融交易、簽名必須歸屬於特定身分個人的法律文件。在這些情況下,來自受信任的憑證授權單位 (CA)(例如 DocuSign、Adobe Sign)或合格的信任服務提供者的憑證可提供滿足要求的可驗證身分鏈。
如何取得經過驗證的簽章
對於應在 PDF 檢視器中顯示為已驗證的簽名,簽署者需要由 Adobe 批准的信任清單 (AATL) 或檢視器的受信任根儲存中的憑證授權單位所核發的數位憑證。這些證書是從商業 CA(DigiCert、GlobalSign、Comodo)獲得的,或者透過專門的電子簽名平台獲得的,這些平台作為服務的一部分向用戶提供簽名證書。
DocuSign 和 Adobe Sign 等電子簽名平台使用 CA 支援的證書,這就是為什麼它們的 Sign PDF 簽名通常顯示為已驗證。對於沒有這些平台的日常文件簽名,未經驗證但有效的簽名足以滿足大多數目的,並且驗證警告可以在上下文中理解,而不是被視為問題的證據。