Ein Nachtrag zu PDFs digital signieren – eine Anleitung, den ich der Übersichtlichkeit halber in einem eigenen Thread veröffentliche.


Der beispielhaft verwendete Zeitstempelserver von DigiCert, http://timestamp.digicert.com, gilt nicht mehr als vertrauenswürdig, da Adobe, warum auch immer, das zugehörige Root-Zertifikat aus der AATL entfernt hat.

Der Zeitstempelserver von Sectigo, https://timestamp.sectigo.com, ist eine Alternative, die funktioniert. Gegebenenfalls sollte also der DigiCert-Zeitstempelserver durch den von Sectigo (oder einen anderen funktionierenden) ausgetauscht werden, wie in Kapitel 8 der Anleitung beschrieben.

Danke für die Info! Ich habe heute Morgen noch eine Signatur mit Adobe erstellt und die Unterschrift ist gültig. Wie oder wo hätte ich sehen können, dass DigiCert als Zeitstempelserver nicht mehr vertrauenswürdig funktioniert?

Die Gültigkeit der Unterschrift selbst wird dadurch auch nicht angetastet und die Unterschrift bleibt sogar LTV-fähig. Es handelt sich also fast nur um einen „Schönheitsfehler“, der natürlich im Zweifelsfall dennoch nicht vertrautenerweckend wirkt.

Wenn Du im Acrobat Reader das „Unterschriftsfenster“, de facto also die linke Seitenleiste, aufklappst oder aber einen Doppelklick auf die Unterschrift machst und dann auf Unterschriftseigenschaften… klickst, dann steht da:

Die Signatur ist mit einem eingebetteten Zeitstempel versehen, dieser konnte jedoch nicht geprüft werden.

Im Normalfall steht da nur:

Die Signatur ist mit einem eingebetteten Zeitstempel versehen.

Wenn Du einen Doppelklick auf die Unterschrift machst und dann auf Unterschriftseigenschaften… → Erweiterte Eigenschaften… → Zertifikat anzeigen… → Vertrauenswürdigkeit klickst, dann siehst Du, dass Serverzertifikat und Zwischenzertifikat nicht vertrauenswürdig sind, da das Root-Zertifikat fehlt (das wäre DigiCert Trusted Root G4, ersichtlich aus der Sektion Zusammenfassung bei ausgewähltem Zwischenzertifikat). Auf macOS ist das Root-Zertifikat zwar vorhanden, aber eben nicht in der AATL.

Hintergrund ist wohl, dass DigiCert seit dem 23. März 2022 ein neues Serverzertifikat für seinen Zeitstempelserver benutzt, das eine andere Zertifikatskette als sein Vorgänger nutzt, und deren Root-Zertifikat ist im Gegensatz zu vorher jedenfalls momentan nicht in der AATL enthalten. Vielleicht wird er ja beim nächsten Update der der AATL aufgenommen, aber im Moment ist das jedenfalls nicht so.

Das wäre mir in nächster Zeit nicht aufgefallen. 👍🏻

Seltsam, da es noch immer bei Adobe geführt wird:
Und bei digicert gab es wohl ein Update:

Bin ich blind? Wo steht denn da was von DigiCert? (Außerdem geht es auf der Seite um den Online-Dienst Adobe Sign und nicht um Personenzertifikate für die Unterschrift in PDFs.)
Ja, das habe ich ja geschrieben:Laut der von Dir verlinkten Seite fand die Änderung sogar schon am Jahresbeginn statt. Das aktuelle Zertifikat gilt seltsamerweise aber erst ab 23. März.

Vielen Dank für das update!