Под историческим документом понимается документ, подписанный сертификатом, срок действия которого уже истек.
Служба Cenсert GetValid позволяет проверять исторические документы, но ее эффективность во многом зависит от доступа к информации об отозванных сертификатах, опубликованной эмитентами сертификатов.
Если эмитент сертификата предоставляет услугу OCSP, которая возвращает статус действительности выданных им сертификатов независимо от истечения срока их действия (примером такого эмитента является Cencert), то проверка исторических документов, подписанных сертификатами такого эмитента так же просто, как и проверка текущих документов. В противном случае услуга валидации должна основываться на периодически публикуемых списках CRL.
Для проверки подписи на основе CRL она должна соответствовать двум условиям:
- Список должен быть выдан в течение срока действия сертификата, поскольку по истечении срока действия сертификата информация об отзыве сертификата больше не публикуется в CRL.
- Список должен быть новее, чем дата подтверждения существования сертификата, если только сертификат не будет отозван в более старом списке, и в этом случае такого списка достаточно (отозванные сертификаты не могут снова стать действительными).
Эти два условия означают, что для проверки исторических подписей служба проверки Cenсert GetValid должна иметь доступ к историческим спискам отзыва сертификатов. Наличие последнего списка недостаточно, поскольку он не соответствует первому условию.
Служба проверки Cencert GetValid имеет базу данных исторических CRL, а также постоянно собирает новые CRL, созданные известными эмитентами сертификатов.
Однако нет никакой гарантии, что имеющийся у вас набор является полным и достаточно обширным по времени для каждой проверки. Если необходимый CRL недоступен, автоматическая проверка такой подписи не даст убедительного результата. На это указывает неопределенный статус валидации и наличие одной из причин (поле Подробности статуса валидации) в отчете о валидации:
- Отсутствие соответствующей информации об отзыве сертификата, используемого для подписи.
- Отсутствие соответствующей информации об отзыве сертификата CCK.
Для процесса проверки исторических документов не менее важным фактором является дата подтверждения существования документа. К сожалению, даже если подписи имеют отметку времени, этого может быть недостаточно. Это связано с тем, что временная метка также имеет определенный период действия (обычно в Польше 8-11 лет), и может случиться так, что если валидации подлежит достаточно старый документ, временная метка перестанет быть действительной. В таком случае пользователю необходимо вручную ввести дату существования подписанного документа, который он сможет защитить в случае возникновения каких-либо споров.
Если документ имеет отметку времени, достаточно ввести дату в пределах срока действия отметки времени, который может даже выходить за рамки даты действия сертификата, используемого для подписи. Такую дату может быть легче доказать, поскольку для документа, хранившегося в течение столь длительного времени, можно найти различные доказательства его существования в определенный период времени (например, наличие в исторических резервных копиях).
При вводе документа для проверки программное обеспечение системы сертифицированной службы проверки Cenсеrt GetValid проверяет, имеют ли подписи метку времени и действительны ли временные метки. В противном случае пользователю предлагается ввести такую дату с указанием периода времени, в котором она должна находиться, чтобы получить четкий результат проверки.
