如何防止 PDF 文档添加带有长期签名验证的数字签名?

如何防止 PDF 文档添加带有长期签名验证的数字签名?

我遇到了一个与 PDF 文件大小有关的新问题。似乎 Acrobat X 及更高版本现在默认启用了一项名为“签名时包含签名的撤销状态”的首选项。本质上,此功能的作用是启用对将来可能被撤销或过期的签名的验证,但在签署文档时通过添加证书来证明签名实际上是有效的撤销清单(.CRL 文件)证书授权/验证服务器

因此,当有人启用此首选项并签署文档时,这将添加来自此证书服务器的 CRL 列表。在我的公司,此列表大约为 2MB,然后文件大小从大约 0.3MB 增加到 3.1MB 左右(加上额外的 Adob​​e 膨胀)。由于有数千份文档,您可以看到这可能会在空间、带宽和时间方面花费不少钱,因为我们的主要内部网站位于另一个国家/地区。

有没有办法创建一个 PDF,以便当有人使用他们的数字签名签署文档时,如果在 Acrobat 中启用了该首选项,它就不会添加 CRL 列表?对于我的特定文档,根本不需要长期验证签名,但我们希望对其进行签名以防止更改并进行短期验证。

--

附加信息:首选项位于编辑菜单下,单击“首选项”,然后单击“安全”>“高级首选项”>“创建”选项卡。此首选项的作用是这里解释在 Adob​​e 网站上,有关于启用和禁用的完整说明。

答案1

基于一些比较模糊的想法的一些问题:

  • 哪个 CA 颁发了此签名?
  • 是否可以要求他们在没有“CRL 分发点”的情况下给您数字签名?
  • 是否可以阻止 Internet 上对 CA 吊销列表的访问,以便 Acrobat 无法获取它,以及重置本地证书吊销列表

作为对最后一个想法的测试,您可以尝试重置本地证书吊销列表,断开与互联网的连接并签署 PDF,看看 Acrobat 现在是否在不包含吊销列表的情况下对其进行签名。如果可行,您或许可以在防火墙中阻止 Acrobat 在签名时访问 CA 的吊销列表。

相关内容