nach unserer Erfahrung kann Adobe Reader nicht vollständig mit indirekten Sperrlisten (CRLs) umgehen. Dies führt dazu, dass die Überprüfung qualifizierter Zertifikate deutscher Trust Center nur eingeschränkt ermöglicht ist. 

Ein wenig zum Hintergrund:
CRLs lassen sich in direkte und indirekte CRLs unterscheiden. Charakteristisch für direkte CRLs ist, dass sowohl das zu prüfende Zertifikat als auch die Sperrliste vom selben Ausstellerzertifikat signiert wurden. Im Falle indirekter CRLs hingegen unterscheiden sich die Aussteller von Zertifikat und Sperrliste. Der Common PKI Standard sieht vor, dass in diesem Falle der CRL-Aussteller explizit im zu prüfenden Zertifikat benannt sein muss. Dies ist jedoch bei den Zertifikaten der Bundesnetzagentur und aller qualifizierten / akkreditierten Anbieter in Deutschland nicht gegeben, was – der Fehlermeldung "Aussteller der Zertifikatssperrliste weicht ab" (in Adobe Acrobat / Reader einzusehen) zufolge – zu einem Prüffehler bei Adobe führt.

Das von deutschen Anbietern praktizierte Ausgabemuster für Zertifikate und Sperrlisten ist dennoch korrekt, da dieses durch eine Profilierung des Common PKI Standards (SigG Profile) gerechtfertigt wird. Dieses lässt den Wegfall des CRL-Ausstellernamens auch bei Nutzung indirekter CRLs zu, um mehr Flexibilität bei der Ausstellung von Dienstzertifikaten zu erreichen. Der Adobe Reader scheint diesen Sonderfall jedoch nicht zu berücksichtigen. Ähnliche Einschränkungen gelten für die Sperrprüfung mittels Online Certificate Status Protocol (OCSP). 

Zusammenfassend lässt sich sagen, dass die Sperrprüfung in Adobe unvollständig scheint und den deutschen Gegebenheiten nicht gerecht wird. Eine Einflussnahme auf das Signaturprüfverfahren beim Dokumentenempfänger ist unseres Wissens nicht möglich, so dass wir Ihnen leider keine Möglichkeit nennen können, um unter Garantie zu einem positiven Prüfergebnis für die bekanntlich gültige Signatur zu kommen.

Der Anwender könnte die Sperrprüfung in seinen Anwendungseinstellungen generell deaktivieren, beeinträchtigt damit aber die Sicherheit der Signaturprüfung in Adobe Reader generell. Die Deaktivierung erfolgt in Adobe Reader unter "Bearbeiten > Voreinstellungen > Sicherheit > Erweiterte Sicherheit" durch Deaktivierung des Kontrollkästchens "Beim Prüfen von Unterschriften nach Möglichkeit immer feststellen, ob das zugehörige Zertifikat gesperrt wurde".

Für weitere Informationen zum Adobe Reader wenden Sie sich bitte dirket an Adobe.

Für eine zuverlässige Prüfung qualifizierter Signaturen empfiehlt es sich, eine sichere Signaturanwendungskomponente (gem. SigG/SigV) wie z.B. Sign Live! CC einzusetzen.
Unsere kostenlose Validierungssoftware "Sign Live" CC validation client (free)" steht für Sie unter https://www.intarsys.de/sw_dl_p zum Downlaod bereit.

Im Lieferumfang von Sign Live! CC sind sehr viele Zertifikate enthalten. Dieser werden in Gruppen dargestellt. Der Übersichtlichkeit halber ist es sinnvoll, sich eine eigenen Gruppe zu erstellen, in der man die eigenen Zertifikate ablegt.
Um ein Zertifikat z. B. von einer Signaturkarte Dritten zur Verfügung zu stellen speichern Sie das Zertifikat in diese neue Gruppe und exportieren es von dort aus.

So exportieren Sie ein Zertifikate von Ihrer Siganturkarte mit Hilfe von Sign Live! CC.

• Starten Sie Sign Live! CC und dort EXTRAS-->Zertifikate-->Zertifikatsverwaltung.
  Die Symbole für die Bearbeitung werden links oben angezeigt.
• Klicken Sie auf das erste Symbol um eine neue Gruppe zu erstellen.
  (Sollte das Symbol nicht aktiv sein, klicken Sie im Fenster "Filter" auf einen weißen Bereich).
  
• Geben Sie der neuen Gruppe einen Namen (im Fenster links), z. B. "Meine Zertifikate" und bestätigen Sie mit "Schließen".
• Wählen Sie nochmals Menüpunkt EXTRAS-->Zertifikate-->Zertifikatsverwaltung.
  Markieren Sie nun die neue Gruppe "Meine Zertifikate".
  (Gewährleisten Sie, dass das Kartenlesegerät an Ihrem PC angeschlossen ist und die Karte steckt.)
• Klicken Sie auf das Symbol "Eintrag hinzufügen".
  Wählen Sie die Aktion "Zertifikat von einer SmartCard importieren" und "Weiter".
  Die Verbindung zur Karte wird aufgebaut und alle Zertifikate auf der Karte werden angezeigt.
• Wählen Sie das gewünschte Zertifikat aus und "Weiter".
  (Möchte der Empfänger das Zertifikat z. B. in Adobe Reader einfügen um dort künftig Ihre Signatur zu prüfen, ist das Zertifikat "qualifizierte Signatur" zu wählen.)
• Im nächsten Fenster haben Sie die Gelegenheit das Zertifiakt zu benennen oder Standardbezeichner zu übernehmen.
• Bitte markieren Sie im nächsten Fenster das Zertifikat als "vertrauenswürdig".
• Nach "Fertigstellen" wird das ausgewählte Zertifikat in die Gruppe eingetragen.
• Nun können Sie mit dem Symbol für "Eintrag exportieren" das Zertifikat in ein beliebiges Verzeichnis speichern.

Das exportiere Zertifikat können Sie z. B. per Mail einer dritten Person zur Verfügung stellen. Der Empänger muss das Zertifikat in seine Software importieren.

Wie Sie ein Zertifikat in Sign Live! importieren wird in der FAQ "Zertifikate importieren" beschrieben.

Nachtrag:
Über das Kontextmenü (rechte Maustaste) stehen Ihnen sämtliche benötigten Funktionen zur Verfügung.
  

So importieren Sie ein Zertifikat in Sign Live! CC:

• Starten Sie Sign Live! CC und wählen Sie
  Menüpunkt EXTRAS-->Zertifkate-->Zertifikatsverwaltung.
• Markieren Sie die Gruppe in der das neue Zertifikat aufgenommen werden soll und wählen Sie (links oben) das zweite Symbol um den Eintrag hinzuzufügen.
• Markieren Sie im nächsten Fenster die gewünschte Aktion und drücken Sie "Weiter".
• Folgen Sie den weiteren Anweisungen.

Für die Validierung von Signaturen einzelner Dokumente können Sie unsere Validierungssoftware „Sign Live! CC validate“ nutzen die Sie hier herunterladen und installieren können. Die Verwendung ist kostenfrei!
 

Bevor Sie als Unternehmer elektronische Rechnung verbuchen können müssen Sie die darin enthaltene Signatur prüfen und ein Validierungsprotokoll erstellen. Dieses Validierungsprotokoll archivieren Sie zusammen mit der Rechnung.

Wenn Sie mit "Sign Live! CC" Ihre qualifizierten Signaturen erstellen, steht Ihnen diese Funktion bereits zur Verfügung.

Für die ausschließliche Validierung von Signaturen einzelner Dokumente können Sie unsere Validierungssoftware „Sign Live! CC validate“ nutzen die Sie hier herunterladen und installieren können. Die Verwendung ist kostenfrei!

Auf dem Validierungsbericht von Sign Live! CC steht am Ende, dass das Schalenmodell zur Prüfung angewendet wird.
Laut einer Antwort in den FAQ der Bundesnetzagentur ist für qualifizierte elektronische Signaturen das Kettenmodell vorgeschrieben. Zitat: "Für tatsächliche Unterschriften (d.h. qualifizierte Signaturen) sieht das Signaturgesetz deshalb das sog. Kettenmodell der Gültigkeit vor (siehe § 16 (1) und § 19 (5) SigG), bei dem eine erfolgreiche Verifikation der geleisteten Signatur auch über lange Zeiträume hinweg in die Vergangenheit möglich ist."

Beim Kettenmodell handelt es sich also um eine Vorgabe der BNetzA.

Der Prüfalgorithmus in Sign Live! CC gem. Schalenmodell geht jedoch weiter:

Das Schalenmodell ist restriktiver als das Kettenmodell, d.h. eine Signatur, die gemäß Schalenmodell gültig ist, ist immer auch gemäß Kettenmodell gültig. In der umgekehrten Betrachtung verhält es sich jedoch anders, denn eine nach Schalenmodell ungültige Signatur ist nicht zwangsläufig auch nach Kettenmodell ungültig.

Validiert nun Sign Live! CC eine Signatur zunächst nach Schalenmodell und stellt fest, dass diese ungültig ist, so unternimmt die Anwendung einen zweiten Prüfdurchgang nach Kettenmodell. Genügt die Signatur diesem Gültigkeitsmodell, so wird als Ergebnis der Status "gültig" und als Prüfmodell das "Kettenmodell" dokumentiert. Auf diese Weise beziehen wir das (international geläufigere) Schalen- bzw. Hybridmodell in unsere Validierung ein, genügen aber gleichzeitig dem u.g. Gesetzestext.

Darüber hinaus wurde die Validierung jedoch zur Version 5.1 bereits angepasst. Wenn ein Zertifikat die Prüfmethode "Kettenmodell" explizit in einer X509-Erweiterung statuiert, dann führen wir nun ausschließlich eine Prüfung nach diesem Modell durch. Dies verbessert die Performanz der Anwendung an dieser Stelle, wirkt sich jedoch im Vergleich zum oben geschilderten Vorgehen nicht auf die Akzeptanzkriterien einer Signatur aus.

Beim Validieren von Signaturen werden die Sperrlisten automatisch aktualisiert, sofern dies in Sign Live! CC aktiviert (Menü "EXTRAS Einstellungen - Zertifikate - Sperrlisten") ist.

Über den Menüpunkt "EXTRAS - Zertifikate - Sperrlistenverwaltung" können Sie die Sperrlisten manuell aktualisieren.

Das Datum der nächsten Aktualisierung obliegt dem Trustcenter. Dieses Datum wird in der Sperrliste des Trustcenters hinterlegt. Sollte dies in der Vergangenheit liegen, wird dies bei Sign Live! CC als Hinweissymbol angezeigt.

Sign Live! CC startet mit den Spracheinstellungen des Betriebssystems.

Um die Betriebssprache von Sign Live! CC zu manipulieren benötigen Sie Administratorenrechte.
Gehen Sie folgendermaßen vor:

1. Beenden Sie Sign Live! CC.
2. Wechseln Sie mittels Windows Explorer in das Installationsverzeichnis von Sign Live! CC. Dies ist in den meisten Fällen "C:\Programme\Sign Live CC 6.x" oder "C:\Programme (x86)\Sign Live CC 6.x".
3. Navigieren Sie weiter in das Unterverzeichnis "demo\SignLive\vmoptions\language english".
4. Kopieren Sie aus diesem Verzeichnis die Datei "SignLiveCC.exe.vmoptions".
5. Wechseln Sie in das Unterverzeichnis "bin" des Installationsverzeichnisses von Sign Live! CC und legen Sie eine Sicherungskopie der bestehenden Datei "SignLiveCC.exe.vmoptions" ein.
6. Fügen Sie anschließend die kopierte Datei in dieses Verzeichnis ein.
7. Starten Sie Sign Live! CC neu, damit die Spracheinstellungen geladen werden.

Durch dieses Vorgehen wird die gesamte Benutzeroberfläche von Sign Live! CC in englisch dargestellt.