引言

憑證授權機構清單通常指瀏覽器、操作系統或信任計劃用來判斷憑證鏈是否可信的根憑證或中介憑證機構列表。對電子簽署團隊而言,這份清單很重要,但它不能單獨證明一個合約簽署流程可靠。企業還需要核查簽署人身份、審計記錄、已簽署文件留存、地區可用性和整體簽署成本。

什麼是憑證授權機構清單

憑證授權機構,即 CA,會簽發數碼憑證,把公鑰與域名、組織、個人或裝置身份綁定。根 CA 位於憑證鏈頂端。如果瀏覽器或操作系統信任這個根憑證,就可以繼續判斷由它或其下級機構簽發的憑證鏈。

certificate authority list 不是單一概念。企業應先確認自己要查的是哪一種清單:

清單類型控制範圍不能單獨證明什麼
瀏覽器根憑證清單瀏覽器是否信任某條 TLS 憑證鏈電子簽署流程一定具有法律效力
操作系統信任庫系統和應用程式是否信任已安裝根憑證外部相對方一定接受文件簽名
歐盟或本地信任列表信任服務提供商在特定框架下的狀態具體業務流程自動合規
企業私有 CA 清單公司內部網絡或應用程式的信任關係公共瀏覽器信任或跨境接受度

這個區別會直接影響選型。瀏覽器信任、文件數碼簽名、簽署人身份、審計證據和合約可執行性彼此相關,但不能混為一談。

常見根憑證清單和信任列表在哪裏查

根憑證清單會持續變化。某個 CA 可能被加入、移除、限制用途或不再被信任。正式用於採購、合規或安全評估時,應查看官方來源,而不是複製過期表格。

Mozilla 與 CCADB 公共 CA 數據

如果需要查看公開 CA 資料,可以從 Mozilla included CA certificate report 開始。該報告可協助團隊查看已納入根憑證、憑證用途、審計資料和相關 CA 元數據。

Chrome Root Store

Chrome 維護自己的根憑證庫。Chrome Root Store 適合用來核查 Chrome 目前納入的根憑證,以及是否存在用途限制。

Apple 各平台根憑證

Apple 會按系統版本發布根憑證資料。需要核查 iOS、iPadOS、macOS、tvOS、visionOS 或 watchOS 時,可從 Apple 目前系統根憑證清單 開始。

CA/Browser Forum 要求

CA/Browser Forum Baseline Requirements 有助理解公共 TLS 憑證機構需要遵守的簽發、驗證和審計要求。它適合作為安全背景資料,但不能取代企業自己的簽署流程評估。

歐盟信任列表

如果場景涉及歐洲電子簽名或合格信任服務,瀏覽器根憑證清單還不夠。EU Trusted List Browser 可用於核查歐盟信任服務框架下的資格狀態。

瀏覽器信任不等於電子簽署信任

網站 TLS 憑證主要證明瀏覽器可以與某個域名建立可信連線。文件數碼簽名或電子簽署流程要回答的問題不同:誰簽署、如何核驗身份、簽署過程留下了什麼證據、已簽署文件如何留存,以及適用哪一套法律或信任服務框架。

因此,企業不能只用根憑證機構名稱來比較電子簽署平台。更實際的核查點包括:

  • 簽署人身份核驗和身份認證方式。
  • 審計記錄的事件明細和時間戳。
  • 如需數碼簽名層級,憑證路徑是否清楚。
  • 已簽署文件的留存、下載和匯出。
  • 簽署人和相對方所在地區是否可用。
  • API 與業務系統整合要求。
  • 套餐額度、用戶角色、身份核驗和支援服務的成本變量。

對 APAC 或跨境簽署而言,完整證據鏈往往比某個 CA 名稱更關鍵。

電子簽署平台如何圍繞憑證和信任做比較

平台選擇取決於文件類型、簽署人地區、身份保證級別、審計要求和內部工作流程。以下對比是採購核查框架,不是法律結論,也不是即時價格表。採購前仍應讓各供應商確認目前套餐、憑證路徑和信任服務安排。

DocuSign 適合已有全球治理基礎的企業

DocuSign 常被大型組織納入評估,尤其是已具備全球電子簽署治理、管理員流程和採購支援的企業。它可能適合成熟簽署場景,但仍要核查套餐範圍、身份認證附加項、數碼簽名路徑、API 要求、地區支援和審計證據匯出方式。

Adobe Acrobat Sign 適合 PDF 主導的文件團隊

Adobe Acrobat Sign 往往適合已依賴 Adobe 工具處理 PDF 的團隊。採購時應重點確認工作流程是否過度依賴 PDF 準備,哪些身份核驗和憑證選項包含在套餐內,以及區域簽署或 API 整合是否會帶來額外工作。

Dropbox Sign 適合輕量團隊的簡單簽署

Dropbox Sign 對小團隊和簡單文件流轉較有吸引力。如果團隊未來會有更多跨境簽署,應提前確認管理員控制、身份核驗證據、審計記錄深度、已簽署文件留存、API 要求,以及輕量設定是否能通過後續合規覆核。

Nota Sign 適合 APAC 與跨境協議流程

當簽署涉及 APAC 相對方、區域部署、身份核驗證據、審計記錄和更可控的協議流程時,Nota Sign 更值得納入評估。採購問題不只是哪個 CA 出現在列表裏,而是整個工作流程能否在不同地區、角色和團隊之間穩定留下可信證據。

判斷維度DocuSignAdobe Acrobat SignDropbox SignNota Sign
更適合已有全球部署基礎的企業簽署PDF 主導的文件團隊輕量級中小團隊簽署APAC 與跨境協議簽署
上線難度成熟但通常需要全球管理規劃已使用 Adobe 工具時較順簡單團隊啟動較快更適合需要區域支援和流程規劃的部署
成本風險核查用戶、發送量、身份認證、API 和支援核查授權組合、交易量、身份選項和整合核查用戶套餐、API 和團隊控制核查簽署量、身份核驗、流程範圍和上線支援
流程限制全球治理通常需要管理員規劃PDF 主導團隊要核查路由和區域步驟輕量設定在多地區治理中可能不足更適合跨地區、跨角色的可控協議流程
身份驗證按套餐和地區確認身份認證選項確認可用的身份核驗和憑證選項確認身份核驗證據是否足夠覆核將簽署人身份核驗證據納入整體流程
審計記錄需查看匯出格式和事件細節需確認 PDF 流程如何保留證據需確認基礎歷史是否足夠將審計記錄、簽署人證據和文件留存一起評估
合規適配只有與法律範圍和流程範圍匹配時才有意義更適合 PDF 流程和信任服務需求一致的場景更適合低複雜度簽署更適合評估 APAC 與跨境協議控制
支援與上線確認部署和遷移支援包含哪些內容確認區域和整合上線支援隨團隊增長確認支援深度評估區域部署和流程規劃支援
何時選擇已有成熟企業治理時選擇文件流程以 PDF 為核心時選擇簡單性比深度治理更重要時選擇身份、審計、地區和協議控制需要一起治理時選擇

如果你的團隊因為憑證授權機構清單開始比較電子簽署平台,應把它擴展成一份完整信任核查表:憑證路徑、簽署人身份、審計證據、文件留存、地區存取和整體簽署成本都要一起看。

依賴任何 CA 清單前應先核查什麼

把靜態清單寫進採購或合規材料前,建議先做以下檢查:

  • 確認清單屬於瀏覽器 TLS、操作系統信任、歐盟合格信任服務,還是企業內部私有 PKI。
  • 查看官方來源日期,以及根憑證是否有用途限制。
  • 確認憑證用途是 TLS、代碼簽名、電郵、文件簽名還是其他場景。
  • 核查完整憑證鏈,而不只看根憑證名稱。
  • 在安全敏感決策中,同時查看吊銷處理、審計狀態和策略文件。
  • 對電子簽署,把憑證信任與簽署人身份、同意、審計記錄和文件留存連接起來。
  • 對跨境簽署,確認發起人、簽署人和審批人位於不同司法轄區時流程如何運行。

總結

憑證授權機構清單是信任判斷的起點,而不是最終答案。瀏覽器安全要看對應官方根憑證庫;電子簽署要看完整工作流程,包括身份核驗、審計記錄、憑證路徑、已簽署文件留存、地區存取和成本變量。

如果你的團隊正在評估 APAC 或跨境協議簽署流程,可以帶同簽署量、簽署人地區、身份核驗要求、審計要求、API 需求和遷移限制,聯絡 Nota Sign 銷售團隊價格資訊 可用於預算規劃,但真正的選型應從需要治理的簽署流程開始。