Qu’est‑ce que l’Archivage à Long Terme (ALT) ?

PAdES (PDF Advanced Electronic Signatures) est un ensemble de restrictions et d’extensions aux PDF et à ISO 32000-1, les rendant adaptés à la Signature électronique avancée. PAdES admet que des documents signés numériquement peuvent être utilisés ou archivés pendant de nombreuses années – même des dizaines d’années. À l’avenir, en dépit des progrès technologiques et d’autres avancées, il doit être possible à tout moment de valider un document pour confirmer que la signature était bien valable à l’époque où il a été signé – un concept connu comme Archivage à Long Terme (ALT, LTV en anglais).

Quand ALT est activé, l’état de l’heure de signature des certificats est capturé et stocké à l’intérieur du document PDF. C’est indiqué dans les détails de la signature, que ALT soit activé ou non. Ce certificat de vérification reste dans le fichier lui‑même, pour que sa validité puisse être déterminée même à une date ultérieure, peu importe si le certificat a expiré, a été révoqué, ou si l’autorité de délivrance n’existe plus. Parce que l’enregistrement est stocké à l’intérieur du document signé, il est aussi authentifié par la signature des documents, ce qui réduit les risques d’erreur ou de fraude.
  
ALT contribue à réduire les dépendances aux systèmes externes et réduit tout risque d’ambiguïté future autour de certificats expirés ou révoqués.

DocuSign utilise‑t‑il ALT ?

Les signatures électroniques DocuSign ne sont pas activées ALT mais nous comprenons que certaines industries aient besoin de vérifier la validité d’une signature au moment de son exécution en raison de normes telles que PAdES (PDF Advanced Electronic Signatures). DocuSign scelle numériquement les documents PDF avec un certificat délivré par Entrust. Quand Adobe Reader ouvre nos documents PDF, il valide le certificat utilisé pour le sceau numérique. Comme nous n’avons pas activé ALT, Adobe Reader appelle Entrust pour s’assurer que notre certificat est encore bien valide.  S’il est valide, Adobe Reader appelle Entrust pour vérifier l’état actuel de notre certificat via le protocole de vérification de certificat en ligne (OCSP, Online Certificate Status Protocol) ou la liste de révocation de certificats (CRL, Certificate Revocation List). Comme l’heure de signature n’est pas capturée dans le document PDF, Adobe Reader n’est pas capable de baser sa vérification sur cette heure et utilise plutôt l’heure actuelle. Si le temps de vérification est postérieur à l’expiration du certificat Entrust, elle ne peut pas être validée. L’avertissement jaune ne signifie pas que les documents et les signatures électroniques sous‑jacents apposés sur le document ne sont pas valides. Télécharger à nouveau le document apposera une nouvelle signature numérique.

Comment m’assurer que mes documents DocuSign sont valides ?

Lorsque vous ouvrez un PDF DocuSign, Adobe Reader essaie de valider le certificat joint à la signature. Si le certificat a expiré, Entrust ne pourra pas répondre que la signature est valide. Adobe Reader affichera alors aux utilisateurs un panneau jaune d’avertissement indiquant « Au moins une signature a des problèmes ».

L’alerte signifie que Adobe Acrobat n’est pas capable de déterminer si le certificat de signature était valide au moment de la signature. DocuSign maintient cette validité tant que les documents sont conservés dans DocuSign et n’est pas tributaire de la capacité d’Adobe à vérifier le certificat de signature. Lorsque vous téléchargez des documents PDF sur plateforme DocuSign, nous signons numériquement les documents PDF avec notre certificat délivré par Entrust pour créer des sceaux numériques inviolables.Si quelqu'un essaie de changer quoi que ce soit dans un document PDF numériquement scellé, les lecteurs PDF (Adobe Reader, Nitro PDF, etc.) réalisent que le sceau numérique a été rompu et affiche un message d’avertissement distinct pour l’utilisateur.

Solution

Si le certificat appliqué au moment de la signature du document a déjà expiré, le seul moyen de réacquérir la validité Adobe de la signature est de télécharger à nouveau le document à partir de DocuSign. Éventuellement, une fois téléchargé et sauvegardé, les étapes de l’article précédemment mentionné peuvent être prises pour rendre le document activé ALT. Veuillez noter que les documents qui ont été purgés ne peuvent pas être téléchargés à nouveau.

DocuSign étudie actuellement la possibilité d’avoir des signatures électroniques activées ALT dans une version future.