KLUCZOWE INFORMACJE W SKRÓCIE
Podpis kwalifikowany jest najwyższą formą podpisu elektronicznego zgodnie z eIDAS i zachowuje ważność bezterminowo, jeśli został złożony w czasie ważności certyfikatu kwalifikowanego.
W wielu przypadkach komunikaty o nieważności wynikają z ograniczeń narzędzi walidacyjnych, a nie z faktycznego błędu podpisu.
W tym artykule tłumaczę, dlaczego tak się dzieje oraz jak walidować podpisy poprawnie i bez paniki.
Spis treści
Szybkie odpowiedzi
Kluczowa informacja: Podpis kwalifikowany jest ważny bezterminowo, jeśli dokument podpisano w trakcie ważności certyfikatu kwalifikowanego.
W skrócie: Adobe Acrobat stosuje własny mechanizm walidacji i własne listy zaufanych certyfikatów, dlatego jego komunikaty nie zawsze odzwierciedlają pełną ocenę zgodną z eIDAS.
Podsumowanie: Większość błędów wynika z tego, że narzędzia sprawdzają „ważność certyfikatu dziś”, zamiast „w chwili podpisu”.
Najważniejsze informacje: Nie istnieje jedno „oficjalne narzędzie” do walidacji podpisów kwalifikowanych. Narzędziem referencyjnym jest biblioteka EU DSS. Pełną moc prawną dają kwalifikowane usługi walidacji podpisów elektronicznych (np. WebNotarius w Polsce, 602.cz w Czechach i inne, wpisane na listy zaufane UE).
W skrócie: Aby walidować poprawnie, ustaw Validation Time na czas złożenia podpisu.
Podsumowanie: Certyfikat może wygasnąć, ale podpis pozostaje ważny bezterminowo – pod warunkiem, że złożono go w okresie ważności certyfikatu.
Dlaczego temat w ogóle istnieje?
Historia zaczyna się zwykle tak samo: ktoś podpisuje dokument podpisem kwalifikowanym, przesyła dalej – i po chwili dostaje pełen niepokoju e‑mail:
„Ale Adobe pokazuje, że podpis jest nieważny. Co się stało?!”
Ten moment zna każdy, kto choć raz pracował z PDF‑ami i podpisami elektronicznymi. W tle pojawia się mieszanka błędnych interpretacji i technologicznych ograniczeń narzędzi, które nie są sędziami ważności e‑podpisów – choć bardzo chciałyby nimi być.
Tymczasem sam podpis kwalifikowany jest mocny, stabilny i bardzo przewidywalny. Cała reszta to jedynie hałas.
Mit 1: Czy Acrobat Reader może naprawdę powiedzieć, że podpis jest nieważny?
Kiedy ktoś widzi w Acrobat Reader komunikat „Signature invalid”, emocje są szybsze od logiki. Problem polega na tym, że Acrobat Reader, choć doskonały jako czytnik PDF, stosuje własny mechanizm walidacji i własne listy zaufanych certyfikatów. Jego komunikaty nie zawsze odzwierciedlają pełną ocenę zgodną z eIDAS.
Adobe Acrobat ma swoją logikę walidacji. Czasem interpretuje dane z certyfikatu tak, jakby dzisiejsza data była najważniejsza. Jeśli więc certyfikat wygasł, Acrobat potrafi wyświetlić komunikat sugerujący problem, choć w rzeczywistości podpis sprzed miesięcy lub lat jest całkowicie ważny.
Warto też pamiętać o ważnym rozróżnieniu. Weryfikacja podpisu za pomocą aplikacji (takiej jak Acrobat Reader) dostarcza co najwyżej dowodu prywatnego. Natomiast pełną moc prawną – z domniemaniami prawnymi ważności podpisu – zapewnia dopiero kwalifikowana usługa walidacji podpisów elektronicznych, działająca zgodnie z art. 32 ust. 1 eIDAS.
Najważniejsze zdanie: Adobe Acrobat to świetna przeglądarka PDF, ale komunikat w Acrobat Reader nie jest równoznaczny z prawną oceną ważności podpisu.
Mit 2: Jeśli certyfikat wygasł, to podpis również?
To jeden z najbardziej uporczywych mitów w świecie podpisów elektronicznych.
Zgodnie z art. 32 ust. 1 eIDAS:
jeśli dokument został podpisany w trakcie ważności certyfikatu kwalifikowanego, podpis jest ważny bezterminowo.
Certyfikat może wygaśnąć po roku, po dwóch lub po trzech latach. To nie ma żadnego wpływu na podpisy złożone w okresie jego ważności.
To tak jakby twierdzić, że jeśli dowód osobisty stracił ważność w 2024, to umowa, którą podpisałeś w 2021, nagle staje się nieważna. Absurd? Oczywiście.
Jest jednak istotny niuans. Jeśli certyfikat wygasł, a podpis nie zawiera wiarygodnego znacznika czasu, aplikacja weryfikująca nie ma podstaw, by jednoznacznie potwierdzić, że podpis złożono w okresie ważności certyfikatu. Wynikiem weryfikacji będzie wtedy status „nieokreślony” – co nie znaczy „nieważny”, ale oznacza brak pełnego potwierdzenia. Dlatego tak ważna jest konserwacja podpisu i kwalifikowane znaczniki czasu.
Key fact: Certyfikat może wygaśnąć, ale podpis pozostaje ważny bezterminowo – o ile złożono go w okresie ważności certyfikatu kwalifikowanego.
Mit 3: Walidator online pokazuje „invalid”. Czy podpis jest nieważny?
Internet pełen jest narzędzi do sprawdzania podpisów. Są szybkie, darmowe i wygodne. Problem w tym, że większość z nich ma tę samą słabość co Acrobat Reader:
walidują podpis tak, jakby liczył się dzień dzisiejszy, a nie dzień podpisu.
Niektóre walidatory online upraszczają proces walidacji i mogą zwracać komunikaty, które wymagają dodatkowej interpretacji. Nie każdy wynik „invalid” oznacza, że podpis jest faktycznie nieważny – ale też nie każdy można bezrefleksyjnie zignorować.
Dlatego prawidłowa walidacja musi uwzględniać czas złożenia podpisu (Validation Time).
Jednym z narzędzi referencyjnych jest biblioteka EU DSS (Digital Signature Service), która pozwala ustawić tę wartość poprawnie. Warto jednak pamiętać, że DSS to biblioteka referencyjna – nie istnieje jedno „oficjalne narzędzie” do walidacji podpisów. Pełną moc prawną zapewnia dopiero kwalifikowana usługa walidacji podpisów elektronicznych (np. WebNotarius w Polsce, 602.cz w Czechach).
Najważniejsze zdanie: Niektóre walidatory online upraszczają proces weryfikacji – ich wyniki wymagają interpretacji, a nie ślepego zaufania.
Dlaczego pojawiają się błędy w walidacji? (technicznie, lecz prosto)
W świecie PDF‑ów istnieją różne poziomy podpisu w formacie PAdES:
Czasem narzędzia, szczególnie integracje lub oprogramowanie firm trzecich, nie potrafią pobrać pełnej ścieżki certyfikacji. W efekcie:
-
-
- brakuje ważnego timestampu
- brakuje łańcucha certyfikatów
- dokument jest podpisany w trybie minimalnym (PAdES‑B), choć powinien być w LT lub LTA
-
I wtedy, zupełnie niesłusznie, walidator zgłasza „problem”.
Jak poprawnie walidować podpis kwalifikowany? (Checklist)
Checklist: poprawna walidacja
-
- Skorzystaj z biblioteki referencyjnej EU DSS lub – jeśli potrzebujesz dowodu z domniemaniami prawnymi – z kwalifikowanej usługi walidacji podpisów elektronicznych (np. WebNotarius).
- Ustaw Validation Time na datę i godzinę podpisu plus jedną minutę.
- Sprawdź, czy dokument ma dołączony kwalifikowany znacznik czasu (timestamp).
- W Adobe Acrobat zaktualizuj listę zaufanych certyfikatów (EUTL), pamiętając, że Acrobat nie jest wyrocznią.
- Interpretuj komunikaty narzędzi ze świadomością ich ograniczeń – wynik „nieokreślony” to nie to samo co „nieważny”.
Co robimy w eFOB, aby uniknąć tych pułapek?
W eFOB od dawna widzimy, że problem nie leży w podpisach, lecz w narzędziach, które próbują je oceniać. Dlatego:
1. Modernizujemy nasz mechanizm walidacji
Robimy to w pełnej zgodności ze standardami UE, takimi jak eIDAS i ETSI. Uwzględniamy poprawne traktowanie czasu podpisu, pełne odczytywanie łańcuchów certyfikatów oraz wsparcie dla wielu poziomów PAdES.
2. W ramach aktualizacji przeliczymy wszystkie PDF‑y od nowa
To zapewni, że statusy dokumentów w systemie będą jednoznaczne, stabilne i zgodne z przepisami, niezależnie od zachowania Adobe lub zewnętrznych walidatorów.
3. Projektujemy mechanizmy prostujące fałszywe alarmy
System będzie rozpoznawał różnicę między błędną interpretacją narzędzia a realnym problemem. Chcemy, aby użytkownik widział jasny komunikat, a nie zastanawiał się, co naprawdę oznacza okienko w Adobe Acrobat.
FAQ: najczęstsze pytania o podpisy kwalifikowane
Czy Adobe Acrobat może powiedzieć, że podpis jest nieważny?
Może, lecz nie zawsze oznacza to, że ma rację. Acrobat stosuje własną logikę walidacji, która nie zawsze jest zgodna z pełną oceną wg eIDAS.
Czy wygasły certyfikat unieważnia podpis?
Nie. Ważny podpis złożony w okresie ważności certyfikatu kwalifikowanego pozostaje ważny bezterminowo.
Czym różni się weryfikacja od walidacji podpisu?
Weryfikacja za pomocą aplikacji (np. Acrobat Reader) daje co najwyżej dowód prywatny. Kwalifikowana usługa walidacji (zgodna z art. 32 eIDAS) dostarcza dowód z domniemaniami prawnymi ważności podpisu.
Czy kwalifikowany znacznik czasu (timestamp) jest obowiązkowy?
Nie zawsze, ale znacząco poprawia jakość długoterminowej walidacji. Bez niego, po wygaśnięciu certyfikatu, wynik walidacji może być „nieokreślony”.
Co to jest status „nieokreślony” wyniku walidacji?
To sytuacja, w której aplikacja nie ma wystarczających danych, by jednoznacznie potwierdzić ważność podpisu – np. certyfikat wygasł, a brak kwalifikowanego znacznika czasu. „Nieokreślony” nie znaczy „nieważny”.
Czy mogę zaufać walidatorom online?
Tylko częściowo. Walidatory online upraszczają proces i mogą zwracać wyniki wymagające dodatkowej interpretacji. Pewniejszym źródłem są kwalifikowane usługi walidacji wpisane na listy zaufane UE.
Czy istnieje jedno „oficjalne narzędzie” do walidacji podpisów?
Nie. EU DSS to biblioteka referencyjna, ale nie „oficjalny walidator”. Pełną moc prawną dają kwalifikowane usługi walidacji podpisów elektronicznych – np. WebNotarius w Polsce, 602.cz w Czechach i wiele innych w krajach UE.
Czym różnią się poziomy PAdES‑B, PAdES‑LT i PAdES‑LTA?
PAdES‑B to podstawowy podpis bez utrwalonego czasu. PAdES‑LT dodaje certyfikaty ułatwiające długoterminową weryfikację. PAdES‑LTA zawiera kwalifikowany znacznik czasu i pełną ścieżkę certyfikacji – to najpewniejsza forma.
Co to jest konserwacja podpisu elektronicznego?
To proces zabezpieczenia podpisu na przyszłość – przez dołączenie kwalifikowanego znacznika czasu i informacji o statusie certyfikatu. Dzięki temu podpis można zwalidować nawet po wielu latach od wygaśnięcia certyfikatu.
Czy eFOB sprawdza podpisy zgodnie z eIDAS?
Tak. Modernizujemy mechanizmy walidacji, aby uwzględniały poprawne traktowanie czasu podpisu, pełne łańcuchy certyfikatów i wiele poziomów PAdES.
Podsumowanie: najważniejsze, co warto zapamiętać
Podpis kwalifikowany jest stabilny, mocny i zgodny z eIDAS. Błędy pojawiają się nie w podpisach, lecz w interpretacji narzędzi, które nie zawsze oceniają podpisy we właściwy sposób.
Kluczowe fakty:
-
- Podpis kwalifikowany jest ważny bezterminowo, jeśli został złożony w czasie ważności certyfikatu kwalifikowanego.
- Adobe Acrobat i wiele walidatorów potrafią wprowadzać w błąd – ich komunikaty nie są równoznaczne z prawną oceną ważności podpisu.
- Weryfikacja w aplikacji to dowód prywatny. Kwalifikowana usługa walidacji zapewnia domniemania prawne.
- Poprawna walidacja wymaga ustawienia Validation Time na moment złożenia podpisu.
- Wynik „nieokreślony” nie znaczy „nieważny” – najczęściej brakuje danych do pełnej walidacji.
- W eFOB rozwijamy system tak, aby automatycznie eliminował te nieporozumienia.
