ADOBE: Wenn ich die Signaturen mit Adobe Reader validiere, werden fehlerhafte Ergebnisse wegen Sperrlisten angezeigt. Warum?

nach unserer Erfahrung kann Adobe Reader nicht vollständig mit indirekten Sperrlisten (CRLs) umgehen. Dies führt dazu, dass die Überprüfung qualifizierter Zertifikate deutscher Trust Center nur eingeschränkt ermöglicht ist. 

Ein wenig zum Hintergrund:
CRLs lassen sich in direkte und indirekte CRLs unterscheiden. Charakteristisch für direkte CRLs ist, dass sowohl das zu prüfende Zertifikat als auch die Sperrliste vom selben Ausstellerzertifikat signiert wurden. Im Falle indirekter CRLs hingegen unterscheiden sich die Aussteller von Zertifikat und Sperrliste. Der Common PKI Standard sieht vor, dass in diesem Falle der CRL-Aussteller explizit im zu prüfenden Zertifikat benannt sein muss. Dies ist jedoch bei den Zertifikaten der Bundesnetzagentur und aller qualifizierten / akkreditierten Anbieter in Deutschland nicht gegeben, was – der Fehlermeldung „Aussteller der Zertifikatssperrliste weicht ab“ (in Adobe Acrobat / Reader einzusehen) zufolge – zu einem Prüffehler bei Adobe führt.

Das von deutschen Anbietern praktizierte Ausgabemuster für Zertifikate und Sperrlisten ist dennoch korrekt, da dieses durch eine Profilierung des Common PKI Standards (SigG Profile) gerechtfertigt wird. Dieses lässt den Wegfall des CRL-Ausstellernamens auch bei Nutzung indirekter CRLs zu, um mehr Flexibilität bei der Ausstellung von Dienstzertifikaten zu erreichen. Der Adobe Reader scheint diesen Sonderfall jedoch nicht zu berücksichtigen. Ähnliche Einschränkungen gelten für die Sperrprüfung mittels Online Certificate Status Protocol (OCSP). 

Zusammenfassend lässt sich sagen, dass die Sperrprüfung in Adobe unvollständig scheint und den deutschen Gegebenheiten nicht gerecht wird. Eine Einflussnahme auf das Signaturprüfverfahren beim Dokumentenempfänger ist unseres Wissens nicht möglich, so dass wir Ihnen leider keine Möglichkeit nennen können, um unter Garantie zu einem positiven Prüfergebnis für die bekanntlich gültige Signatur zu kommen.

Der Anwender könnte die Sperrprüfung in seinen Anwendungseinstellungen generell deaktivieren, beeinträchtigt damit aber die Sicherheit der Signaturprüfung in Adobe Reader generell. Die Deaktivierung erfolgt in Adobe Reader unter „Bearbeiten > Voreinstellungen > Sicherheit > Erweiterte Sicherheit“ durch Deaktivierung des Kontrollkästchens „Beim Prüfen von Unterschriften nach Möglichkeit immer feststellen, ob das zugehörige Zertifikat gesperrt wurde“.

Für weitere Informationen zum Adobe Reader wenden Sie sich bitte dirket an Adobe.

Für eine zuverlässige Prüfung qualifizierter Signaturen empfiehlt es sich, eine sichere Signaturanwendungskomponente (gem. SigG/SigV) wie z.B. Sign Live! CC einzusetzen.

Stand: Juli 2014