引言

檢查數碼證書是否有效,不能只看證書有沒有過期。你需要同時核對有效期、簽發機構、證書鏈、吊銷狀態,以及簽署軟件或文件檢視器顯示的簽署提示。證書可能仍在有效期內,但如果已被吊銷、證書鏈不受信任、用途不匹配,或文件在簽署後被修改,就不應直接作為可靠簽署證據。

本文會用實務角度說明數碼證書應怎樣檢查、哪些警告需要優先處理,以及甚麼時候應由「檢查單一證書」升級為「審視整個簽署流程」。

數碼證書實際證明甚麼

數碼證書不是電子簽署本身。它是一種密碼學憑證,用來把公鑰和某個身份綁定起來,身份可以是個人、機構、裝置或服務。在 X.509 證書驗證實務中,簽發機構、主體、有效期、密鑰用途、證書路徑和吊銷資料,都會影響一張證書能否在特定用途下被信任。

數碼簽署會使用由證書支援的密鑰對,幫助證明是誰簽署,以及簽署後的資料有沒有被改動。電子簽署的範圍較廣,通常指能體現簽署意願的電子程序,具體效力仍要視乎適用法律、文件類型和各方約定。

術語含義需要檢查甚麼
數碼證書由 CA 簽發的身份與公鑰憑證簽發機構、有效期、主體、證書鏈、吊銷狀態
數碼簽署對資料或文件施加的密碼學簽署證書狀態、文件完整性、時間戳、簽署人身份
電子簽署以電子方式完成簽署意願表達的行為同意、身份認證、審計記錄、適用法律、記錄留存

因此,只檢查證書日期並不足夠。對合約、政府提交文件或跨境協議來說,更重要的問題是:簽署證據是否足以支持該文件場景。

先完成這些基本檢查

第一步可從最容易發現問題的項目開始,確認證書在目前系統或文件檢視器中是否被信任。

  1. 在瀏覽器、操作系統、PDF 檢視器、電子簽署平台或證書管理工具中開啟證書詳情。
  2. 核對主體名稱和機構資料,確認它與預期的簽署人、機構、伺服器或簽署服務一致。
  3. 查看簽發機構,證書應可追溯至目前用途認可的根證書或可信認證機構。
  4. 檢查有效期,不只看簽署日期,也要看證書的開始日期和結束日期。
  5. 查看密鑰用途或擴展密鑰用途。用於伺服器認證的證書,不一定適合文件簽署。
  6. 留意軟件警告。文件被修改、未知信任鏈、證書過期、證書鏈斷裂等提示,都應先處理再依賴該文件。

如果檢查的是已簽署 PDF,簽署面板通常是最直接的入口。它可顯示簽署是否驗證通過、文件簽署後是否被修改,以及證書鏈是否被目前檢視器信任。但對高價值合約或合規文件來說,這只是起點,不應是最終判斷。

證書鏈和吊銷狀態不能省略

證書仍在有效期內,並不代表一定可以依賴。簽發機構可能因為私鑰外洩、主體資料變更、證書被誤用,或證書政策不再符合要求而吊銷證書。

常見的吊銷檢查方式包括:

  • CRL 查詢:由認證機構發布的證書吊銷清單。
  • OCSP 查詢:針對某一張證書發起線上狀態查詢。IETF RFC 6960 將 OCSP 定義為一種毋須下載完整 CRL 也能判斷證書狀態的協議。

對 X.509 證書來說,證書路徑驗證同樣重要。證書應從最終實體證書開始,經由中間證書,最終鏈向可信根證書。IETF RFC 5280 規範了互聯網公鑰基礎設施中的 X.509 證書和證書吊銷清單,因此很多驗證工具會同時檢查簽發者、有效期、密鑰用途、證書政策、路徑和吊銷狀態。

如果驗證工具無法連接吊銷資料來源,結果可能是「無法確認」,而不是「安全可用」。這時應向簽發機構、信任服務提供方或簽署平台索取驗證證據,再決定是否接受該文件。

證書看起來無效時應怎樣處理

發現證書異常時,不要只要求對方重新傳送同一份文件。先判斷是哪一類失敗。

提示或問題可能含義建議處理方式
證書已過期證書有效期已結束查看是否有可信時間戳;向簽發機構或簽署人索取驗證證據
證書已吊銷簽發機構撤銷了該證書的信任在簽發機構說明狀態和影響期間前,不要直接依賴
簽發機構未知目前檢視器不信任該證書鏈核查 CA 是否符合所在地區或企業政策要求
文件已被修改簽署後的內容發生變更要求重新提供乾淨的已簽署文件或審計記錄
證書用途不匹配證書並非用於文件簽署要求使用正確的簽署證書或平台生成的簽署文件
缺少審計證據單一文件不足以證明完整簽署過程要求提供審計記錄、身份認證記錄和已簽署文件包

對低風險內部文件,快速查看證書狀態可能已經足夠。對合約、政府提交、跨境協議或受監管流程,應把證書驗證納入完整簽署證據審查。

Nota Sign 如何承接更可靠的簽署證據

很多團隊是在檢查數碼證書時,才發現現有簽署方式過於依賴人手判斷。Nota Sign 適合承接的場景,不只是「這張證書是否有效」,而是「每一次簽署能否穩定證明身份、同意、文件完整性、審計歷史和記錄留存」。

如果合約流轉涉及法務、財務、人力資源、採購或區域業務團隊,Nota Sign 可以把證書驗證從零散的人手判斷,放回一個更可控的簽署流程裏。團隊可在文件發出前先規劃簽署路徑、簽署人身份核驗、審計記錄、已簽署文件留存,以及後續需要提交給內部或外部審查的證據。

評估 Nota Sign 是否適合你的流程時,建議同時核查:

  • 簽署人身份核驗是否符合文件風險等級;
  • 每份已簽署文件是否都有清晰審計記錄;
  • 法務、財務、人力資源或採購團隊是否能長期調取已簽署文件;
  • 重複簽署流程是否需要 API 或系統整合;
  • 費用是否與用戶數、發送量、身份認證、API 使用、支援服務或區域要求相關;
  • 跨境簽署人是否能順利存取,並生成內部可審查的證據。

Nota Sign 價格頁可協助團隊初步判斷預算問題;如果流程涉及身份核驗、亞太地區簽署人、API 使用或審計記錄留存,也建議直接聯絡 Nota Sign 銷售團隊評估工作流程。

總結

數碼證書規則會因司法管轄區和文件類型而不同。以香港為例,GovHK 說明,在不涉及政府實體的交易中,法律上的簽署要求通常可透過電子簽署滿足,包括數碼簽署,前提是該方式可靠、適當且得到接收方同意;涉及政府實體的交易,則可透過由認可數碼證書支援的數碼簽署滿足簽署要求。

這說明,跨境團隊不能只看證書日期。下一份協議發出前,建議把這些資料帶給 Nota Sign 做一次流程評估:

  • 簽署人身份核驗方式;
  • 認證機構或信任服務提供方是否適合該文件用途;
  • 文件需要數碼簽署、電子簽署,還是更高等級的可信簽署方式;
  • 已簽署文件是否包含審計證據和時間戳;
  • 接收方或主管機構是否接受目前驗證方式;
  • 平台是否支援相關簽署人所在地區。

當團隊需要可重複的簽署流程、簽署人身份核驗證據、審計記錄、已簽署文件留存和區域流程評估時,Nota Sign 更適合作為完整方案來評估。如果你的團隊經常因證書警告而反覆確認文件可信度,不要等到法務、採購或境外相對方退回文件後才補救,而應盡早重新審視協議簽署流程。

需要一套可被內部和跨境相對方審查的簽署證據嗎? 準備好簽署量、簽署人所在地、文件類型、身份核驗要求、API 需求、審計留存要求和預算限制後,直接聯絡 Nota Sign 銷售團隊,讓團隊協助你梳理上線前需要準備的簽署證據。