Precisa de uma solução para verificar assinaturas digitais expiradas

@ ThorX89 - você precisa timestamp suas assinaturas. Isso resolverá seu problema.

Basicamente, você usa um certificado válido (no momento) para assinar o PDF, o registro de data e hora de uma CA de terceiros (a maioria das Autoridades de Certificação permite o uso de seus servidores de data e hora - verifique com seu provedor) e verificada por um certificado emitido pela CA.

No Adobe Acrobat (ou Reader), clique em Editar > Preferências > Segurança > Selecione Solicitar revogação de certificado Verificação para obter êxito sempre que possível durante a verificação de assinatura - e, na caixa abaixo, selecione a opção Tempo de segurança (carimbo de data / hora).

Contanto que seu certificado seja válido no momento da assinatura e o servidor de registro de data e hora esteja definido corretamente na Adobe, mesmo que seu certificado expire posteriormente ou seja revogado, a Adobe verificará se seu certificado era válido no momento seguro timestamp) do certificado como certificado por um provedor de confiança de terceiros.

Para definir o servidor de horário na Adobe, vá para o menu Avançado > Configurações de segurança e, em seguida, à esquerda, você verá servidores de carimbo de hora. Digite o novo servidor de registro de data e hora e o Adobe fará o download de um certificado de seu servidor e será usado para verificar o registro de data e hora.

Lembre-se de que o emissor do certificado E a CA do servidor de carimbo de data / hora (no caso de emissores diferentes) precisam estar na Lista de Confiança Aprovada (AATL) para que não haja erros de verificação de assinatura apresentados ao usuário o arquivo ao abri-lo no Adobe Acrobat 9.0 ou mais recente. Se os emissores não estiverem na lista, eles serão apresentados com "não é possível verificar a assinatura", mesmo que tenha ocorrido o registro de data e hora. A única solução para isso é que os certificados (do seu e do timeserver) devem ser confiáveis para o espectador em seu software da Adobe. Procurar um fornecedor listado na AATL resolve esse problema (para produtos da Adobe).

A maneira como você deve lidar com isso é renovando seu certificado bem antes da data de expiração, para que os clientes tenham tempo suficiente para visualizar o documento com um certificado ainda válido.

Tentar comparar um certificado expirado com algum tipo de certificado "previamente válido" é um disparate. Para todos os efeitos, um certificado expirado é inútil como uma função de segurança - não é melhor do que criar um certificado auto-assinado.

O ponto principal da verificação de assinaturas e da cadeia de confiança é que all dos parâmetros do certificado deve estar correto para que o programa o reconheça como válido e autêntico. É tão fácil forjar um certificado expirado de aparência autêntica quanto criar um certificado total sem sentido assinado por uma cadeia CA não confiável.

Parece que o que você está tentando fazer é, de alguma forma, tranquilizar os usuários (ou você mesmo) de que algum certificado digital expirado é realmente seu, mesmo que tenha expirado.

Não faça isso.

Se você estiver usando o certificado digital como uma ferramenta de segurança / integridade / autenticidade / privacidade, qualquer coisa, exceto um certificado atual, válido e confiável, será inútil para todas as funções mencionadas. Os resultados de tais comparações podem ser interessantes em análises forenses ou em outros campos, mas se você e seus clientes são "usuários finais" do certificado e o estão usando para a proteção que ele fornece, você (e seus clientes) precisam tratar < strong> all avisos de certificados inválidos como equivalentes a alguém que tenta fornecer um documento falsificado.