Signierte PDFs werden im PDF-Reader als „unbekannt“ angezeigt, im DeepValidator jedoch als gültig ausgewiesen

Problem

Ein signiertes PDF wird in einem PDF-Reader wie Adobe Acrobat, Foxit Reader oder Microsoft Edge als „unbekannt“, „nicht vertrauenswürdig“ oder ähnlich angezeigt, während dieselbe Signatur im DeepValidator als gültig ausgewiesen wird.

Einordnung

Dieses Verhalten bedeutet nicht zwingend, dass die Signatur technisch oder rechtlich ungültig ist. Häufig liegt die Ursache darin, dass der verwendete PDF-Reader oder das lokale System die Zertifikatskette des Unterzeichnerzertifikats nicht vollständig bis zu einer vertrauenswürdigen Root-CA auflösen oder nicht als vertrauenswürdig einstufen kann.

Mögliche Ursachen

• Der PDF-Reader verwendet lokale oder anwendungsspezifische Trust Stores und findet die erforderliche Root-CA oder Intermediate-Zertifikate nicht.
• Die benötigten Root- oder Intermediate-Zertifikate sind auf dem System nicht vorhanden, veraltet oder nicht als vertrauenswürdig markiert.
• Im PDF-Reader sind vertrauensrelevante Listen oder Einstellungen nicht aktuell, etwa die Adobe Approved Trust List (AATL) oder die European Union Trust List (EUTL).
• Unterschiedliche PDF-Reader bewerten Signaturen teils unterschiedlich, weil sie verschiedene Vertrauensmodelle, Zertifikatsspeicher und Validierungslogiken verwenden.

Lösungsmöglichkeiten

1.  PDF-Reader aktualisieren:
   Sicherstellen, dass eine aktuelle Version von Adobe Acrobat Reader, Foxit Reader oder Microsoft Edge verwendet wird, damit aktuelle Validierungsmechanismen und Trust-Informationen verfügbar sind.
   
2. Trust Store bzw. Zertifikatskette prüfen:
   Prüfen, ob die erforderliche Root-CA sowie die zugehörigen Intermediate-Zertifikate auf dem System oder im PDF-Reader vorhanden und als vertrauenswürdig hinterlegt sind.
   
3. Zertifikate importieren oder Vertrauen setzen:
   Falls erforderlich, die relevanten Zertifikate manuell importieren und als vertrauenswürdig konfigurieren. In Adobe kann dies über die Anzeige des Unterzeichnerzertifikats und die Trust-Einstellungen erfolgen; in Foxit können Zertifikate in den Bereich „Trusted Certificates“ importiert und als „trusted root“ markiert werden.
   
4. Trust-Listen des PDF-Reader aktualisieren:
   Am Beispiel des Adobe Acrobat Reader: Prüfen, ob AATL und EUTL aktiviert und auf dem aktuellen Stand sind, da fehlende oder veraltete Trust-Listen dazu führen können, dass eine Signatur als unbekannt erscheint.
   
5. CA-Zertifikate des Anbieters prüfen
   Werden Signaturen mit Zertifikaten einer bestimmten Zertifizierungsstelle erstellt, sollten auch die von dieser CA bereitgestellten Root- und Intermediate-Zertifikate geprüft und bei Bedarf aktualisiert werden. Für Swisscom-Zertifikate können die aktuellen Informationen und Zertifikate über die Swisscom-Seite zum Digital Certificate Service bezogen werden: https://www.swisscom.ch/en/business/enterprise/offer/security/digital_certificate_service.html.

Alternativprüfung

• Das Dokument testweise in einem anderen aktuellen PDF-Reader öffnen, um zu prüfen, ob das Verhalten readerspezifisch ist.
• Die Signatur zusätzlich mit einem anderen anerkannten Validator prüfen, wie zum Beispiel der der Bund-Validator im ZertES-Fall oder den EU-Validator im eIDAS-Fall. Ergibt diese Validierung ebenfalls ein positives Resultat, spricht dies dafür, dass die Signatur gültig ist und das abweichende Verhalten auf eine lokale Vertrauenskonfiguration oder Reader-spezifische Anzeige zurückzuführen ist.

Hinweis für Supportfälle

Für die Analyse sind folgende Angaben hilfreich:

• Verwendeter PDF-Reader inklusive Versionsnummer.
• Betriebssystem des betroffenen Endgeräts.
• Genaue Fehlermeldung oder Screenshot der Signaturanzeige.
• Informationen zum verwendeten Signaturzertifikat bzw. zur Zertifizierungsstelle, sofern verfügbar.