Під історичним документом розуміється документ, підписаний сертифікатом, термін дії якого минув.
Послуга Cencert GetValid дозволяє перевіряти історичні документи, але його ефективність значною мірою залежить від доступу до інформації про відкликані сертифікати, яку публікують емітенти сертифікатів.
Якщо емітент сертифіката надає послугу OCSP, яка повертає статус чинності випущених ним сертифікатів незалежно від закінчення терміну дії (прикладом такого емітента є Cencert), то перевірка історичних документів, підписаних сертифікатами такого емітента, є такою ж простою, як і перевірка поточних документів. В іншому випадку, однак, служба перевірки повинна покладатися на циклічно опубліковані CRL.
Для того, щоб виконати перевірку підпису на основі CRL, він повинен відповідати двом умовам:
- Перелік повинен бути виданий протягом терміну дії сертифіката, оскільки після закінчення терміну дії сертифіката інформація про анулювання цього сертифіката більше не публікується в CRL.
- Список повинен бути більш свіжим, ніж дата сертифіката, яким ви володієте, за винятком випадків, коли сертифікат, яким ви володієте, має старіший список, який було анульовано, і в цьому випадку такого списку достатньо (анульовані сертифікати не можуть стати дійсними знову).
З цих двох умов випливає, що для перевірки історичних підписів служба перевірки Cencert GetValid повинна мати доступ до історичних CRL. Наявність найсвіжішого списку недостатньо, оскільки він не задовольняє першій умові.
Служба валідації GetValid від Cencert має базу даних історичних CRL, а також постійно збирає нові CRL, випущені відомими емітентами сертифікатів.
Однак немає жодних гарантій, що наявна колекція є повною і достатньо великою для кожної валідації. Якщо необхідний CRL недоступний, автоматична перевірка такого підпису не дасть остаточного результату. Про це свідчить невизначений статус валідації та наявність однієї з причин (поле Validation Status Detail) у звіті про валідацію:
- Відсутність належної інформації про відкликання сертифіката, використаного для створення підпису
- Відсутність належної інформації про анулювання сертифіката CCK
Для процесу перевірки історичних документів не менш важливою передумовою є дата підтвердження існування документа. На жаль, навіть якщо підписи проставлені, цього може бути недостатньо. Це пов’язано з тим, що часовий штамп також має певний термін дії (у Польщі зазвичай 8-11 років), і може статися так, що якщо документ визнаний досить старим, то позначка часу більше не дійсна. У такому випадку користувач повинен вручну ввести дату існування підписаного документа, яку він зможе захистити у випадку будь-яких суперечок.
Якщо документ має позначку часу, достатньо ввести дату, яка знаходиться в межах інтервалу дії позначки часу, яка може навіть не відповідати даті дії сертифіката, використаного для підпису. Таку дату може бути легше продемонструвати, оскільки для такого документа, що довго зберігається, можна знайти різні докази її існування в цьому часовому інтервалі (наприклад, наявність в історичних резервних копіях).
При введенні документа на перевірку програмне забезпечення системи кваліфікованої валідації Cencert GetValid перевіряє, чи є на підписі відмітка часу і чи дійсні ці відмітки. Якщо ні, воно пропонує користувачеві ввести таку дату із зазначенням інтервалу, в якому вона повинна лежати для отримання однозначного результату перевірки.
