Требуется решение для проверки цифровых подписей с истекшим сроком действия

Я использую цифровые подписи для подписания моих счетов-фактур (требуется по закону для цифрового выставления счетов в моей стране). Проблема в том, что мой локальный центр выдает сертификаты подписи, которые действительны только в течение года (в значительной степени любой центр сертификации делает это).

каждый год это оставляет меня с кучей PDF, для которого Acrobat Reader говорит, что подпись не может быть проверена, потому что сертификат, возможно, истек или был отозван. (Я использую 9-ю версию для 64-битного Linux, но X версия для Windows делает то же самое).

есть ли программа, которая может сказать мне, если такая непроверяемая подпись была когда-либо действительна против данного публичного сертификата и когда?

(Если нет, было бы технически возможно собрать его вместе?)

спасибо,
Peter

23
задан PSkocik
19.12.2022 9:00 Количество просмотров материала 3645
Распечатать страницу

2 ответа

@ThorX89 - вам нужно отметить ваши подписи. Это решит вашу проблему.

в основном вы используете действительный (в то время) сертификат для подписи PDF, это отметка времени стороннего ЦС (большинство центров сертификации позволяют использовать свои серверы отметок времени - проверьте с вашим поставщиком) и сама отметка времени проверяется сертификатом, выданным ЦС.

в Adobe Acrobat (или Reader) изменить > настройки > безопасность > проверить требуется сертификат проверка отзыва, чтобы добиться успеха, когда это возможно во время проверки подписи-тогда в поле ниже выбрал безопасное время (timestamping) опция.

до тех пор, пока ваш сертификат действителен на момент подписания и сервер отметок времени правильно установлен в Adobe, даже если срок действия вашего сертификата истек или отозван, Adobe проверяет, действителен ли ваш сертификат в безопасное время (т. е. отметка времени) сертификата, сертифицированного доверием третьей стороны поставщик.

чтобы установить сервер времени в Adobe перейдите в меню Дополнительно > настройки безопасности, а затем слева вы увидите отметки времени серверов. Введите новый сервер отметок времени, и adobe загрузит сертификат со своего сервера, который будет использоваться для проверки отметки времени.

имейте в виду, ваш эмитент сертификата и метка времени сервера ЦС оба (если они были разных эмитентов) должны быть на обитель утвержден список доверия (AATL) их абсолютно нет ошибки проверки подписи, представленные средству просмотра файла при его открытии в Adobe Acrobat 9.0 или более поздней версии. Если эмитенты не включены в список, им будет представлена "не удается проверить подпись", даже если она была помечена временной меткой. Единственным решением этой проблемы является то, что (ваш и сервер времени) сертификаты должны быть доверенными зрителя в их программном обеспечении Adobe. Пойду перечисленных поставщику AATL получает вокруг этой проблемы (для продуктов Adobe).

7
отвечен AeroKnight 2022-12-20 16:48

Как вы должны обрабатывать это путем обновления сертификата задолго до истечения срока действия, так что клиенты имеют достаточно времени, чтобы просмотреть документ с еще действительным сертификатом.

попытка сопоставить просроченный сертификат с каким-то" ранее действительным " сертификатом-это нонсенс. Для всех намерений и целей истекший сертификат бесполезен как функция безопасности - это не лучше, чем создание самозаверяющего сертификата.

весь смысл проверки подписи и цепочки доверия в том, что все параметров сертификата должно быть корректным для того, чтобы программа распознала его как действительный и подлинный. Подделать подлинный сертификат с истекшим сроком действия так же просто, как и создать абсолютно бессмысленный сертификат, подписанный ненадежной цепочкой ЦС.

Это звучит как то, что вы пытаетесь сделать, это как-то успокоить пользователей (или себя), что какой-то цифровой сертификат, который истек действительно твоя, даже если она просрочена.

Не делай этого.

Если вы используете цифровой сертификат в качестве инструмента безопасности/целостности/подлинности/конфиденциальности, все, кроме текущего, действительного, доверенного сертификата, бесполезно для всех упомянутых функций. Результаты таких сравнений могут быть интересны в криминалистическом анализе или других областях, но если вы и ваши клиенты являются "конечными пользователями" сертификата и используете его для защиты, которую он предоставляет, вы (и вашим клиентам) надо лечить все недопустимые предупреждения сертификата как эквивалент кому-то пытается дать вам поддельный документ.

1
отвечен Horn OK Please 2022-12-20 19:05

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Мы используем cookie. Это позволяет нам анализировать взаимодействие посетителей с сайтом и делать его лучше. Продолжая пользоваться сайтом, вы соглашаетесь с использованием файлов cookie. Политика конфиденциальности
Согласен
Вверх