5

Я использую цифровые подписи для подписания своих счетов (это требуется по закону для цифровых счетов в моей стране). Проблема в том, что мой местный орган власти выдает сертификаты подписи, действительные только в течение года (почти любой центр сертификации делает это).

Каждый год у меня остается куча PDF-файлов, для которых Acrobat Reader говорит, что подпись не может быть проверена, так как срок действия сертификата может быть истек или был отозван. (Я использую 9-ую версию для 64-битного Linux, но X-версия для Windows делает то же самое).

Есть ли программа, которая может сказать мне, была ли такая неподтвержденная подпись действительной в отношении данного публичного сертификата и когда?

(Если нет, было бы технически возможно собрать это воедино?)

Спасибо Питер

2 ответа2

7

@ ThorX89 - вам нужно поставить метки времени на подписи. Это решит вашу проблему.

Как правило, вы используете действующий (на тот момент) сертификат для подписи в PDF, это время помечается сторонним центром сертификации (большинство центров сертификации разрешают вам использовать их серверы отметок времени - уточните у своего провайдера), а сама отметка времени проверяется сертификат, выданный СА.

В Adobe Acrobat (или Reader) выберите «Редактирование»> «Установки»> «Безопасность»> «Проверить» и «Требовать отзыва сертификата». Если необходимо, во время проверки подписи проверка должна выполняться успешно, а затем в поле ниже выберите «Безопасное время (отметка времени)».

Если ваш сертификат действителен на момент подписания и сервер меток времени правильно установлен в Adobe, даже если ваш сертификат позднее истекает или отзывается, Adobe проверяет, был ли ваш сертификат действительным в безопасное время (т. Е. Отметка времени) сертификат, заверенный сторонним поставщиком доверия.

Чтобы установить сервер времени в Adobe, перейдите в «Расширенное меню»> «Настройки безопасности», а затем слева вы увидите серверы отметок времени. Введите новый сервер отметок времени, и Adobe загрузит сертификат со своего сервера, который будет использоваться для проверки отметки времени.

Имейте в виду, что ваш издатель сертификатов и CA сервера меток времени (если они разные) должны быть включены в список проверенных сертификатов Abode (AATL), чтобы на них не было ошибок проверки подписи, представленных зрителю файла при они открывают его в Adobe Acrobat 9.0 или новее. Если эмитентов нет в списке, им будет показано «невозможно проверить подпись», даже если это было помечено временем. Единственное решение - это то, что сертификаты (ваш и сервер времени) должны доверять зрителю в их программном обеспечении Adobe. Обращение к поставщику, указанному в AATL, позволяет обойти эту проблему (для продуктов Adobe).

1

Вы должны справиться с этим путем обновления своего сертификата заблаговременно до истечения срока его действия, чтобы у клиентов было достаточно времени для просмотра документа с еще действующим сертификатом.

Попытка сопоставить просроченный сертификат с каким-то «ранее действующим» сертификатом - это нонсенс. По сути, просроченный сертификат бесполезен в качестве функции безопасности - это не лучше, чем создание самозаверяющего сертификата.

Весь смысл проверки подписи и цепочки доверия заключается в том, что все параметры сертификата должны быть правильными, чтобы программа могла признать его действительным и подлинным. Подделать подлинно выглядящий сертификат с истекшим сроком действия так же легко, как и создать полный бессмысленный сертификат, подписанный ненадежной цепочкой ЦС.

Похоже, что вы пытаетесь как-то заверить пользователей (или себя), что какой-то цифровой сертификат, срок действия которого истек, действительно ваш, даже если срок его действия истек.

Не делай этого.

Если вы используете цифровой сертификат в качестве инструмента безопасности / целостности / подлинности / конфиденциальности, все, кроме текущего, действительного, доверенного сертификата, бесполезно для всех упомянутых функций. Результаты таких сравнений могут быть интересны в криминалистическом анализе или в других областях, но если вы и ваши клиенты являетесь «конечными пользователями» сертификата и используете его для защиты, которую он предоставляет, вам (и вашим клиентам) необходимо рассмотреть все недействительные предупреждения сертификата как эквивалент того, кто пытается дать вам поддельный документ.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .