Sertifika zinciri, PDF imzasındaki imzacı sertifikasının güvenilen bir köke kadar teknik olarak izlenebilmesidir. Bu zincir kurulmadan bir imzanın kriptografik değeri doğru olsa bile, imzacı kimliğine ve sertifika otoritesine duyulan güven eksik kalabilir.
Kısa cevap: PDF imza doğrulamada güven, tek bir yeşil işaretten değil; belge bütünlüğü, imza değeri, X.509 sertifika zinciri, CRL/OCSP iptal kanıtı, zaman bağlamı ve gerekiyorsa LTV/DSS kanıtlarının birlikte okunmasından oluşur. V-İmza raporunda "sertifika zinciri bulunamadı" uyarısı bu nedenle ihmal edilmemelidir.
PDF imzada sertifika zinciri neyi kanıtlar?
Bir PDF üzerindeki elektronik imza, çoğu zaman CMS/PKCS#7 yapısı içinde imzacı sertifikasını taşır. Sertifika zinciri kontrolü bu sertifikayı tek başına okumaz; imzacı sertifikasını veren ara sertifikayı, ara sertifikayı yetkilendiren kök sertifikayı ve bu kökün güven havuzunda yer alıp almadığını birlikte değerlendirir.
Bu kontrol, "belge değişmedi mi?" sorusundan farklıdır. Belge bütünlüğü ByteRange ve imza değeriyle anlaşılır. Sertifika zinciri ise "bu imzacı sertifikasına hangi otorite üzerinden güveniyorum?" sorusunu yanıtlar. Bu yüzden PDF imza doğrulama raporlarında bütünlük, kimlik ve güven zinciri ayrı başlıklar olarak okunmalıdır.
İmzacı sertifikası
PDF içindeki imzayı atan kişiye veya kuruma ait açık anahtar ve kimlik bilgilerini taşır.
Ara sertifika
İmzacı sertifikasını bir üst sertifika makamına bağlayan halkadır; eksikse zincir kopuk görünebilir.
Kök güven
Doğrulama sisteminin güvenilir kabul ettiği kök sertifika veya resmi güven listesiyle ilişkilidir.
İptal ve zaman
CRL/OCSP ve zaman damgası, sertifikanın imza anındaki durumunu yorumlamak için kullanılır.
V-İmza raporunda sertifika zinciri nasıl okunur?
V-İmza doğrulama raporunda zincir sonucu tek başına nihai karar değildir; ancak kararın omurgasını oluşturur. Aynı PDF için "imza değeri geçerli" sonucu görünürken sertifika zinciri veya iptal kanıtı eksikse, rapor teknik olarak daha dikkatli okunmalıdır. Bu ayrımı PDF imza doğrulama raporu okuma rehberindeki sonuç alanlarıyla birlikte değerlendirmek gerekir.
| Raporda görülebilecek ifade | Teknik anlamı | Pratik yorum |
|---|---|---|
| Sertifika zinciri geçerli | İmzacı sertifikası ara/kök sertifikalara bağlanabiliyor. | Bütünlük ve iptal kontrolleri de uygunsa güven seviyesi yükselir. |
| SERTİFİKA ZİNCİRİ BULUNAMADI | Ara sertifika eksik olabilir veya kök güven havuzunda olmayabilir. | Belge otomatik olarak sahte sayılmaz; ancak sağlayıcı, ara sertifika ve güven kaynağı kontrol edilmelidir. |
| Self-signed / kendinden imzalı | Sertifika kendi kendini imzalamış olabilir; güven kökü bağı yoktur. | Test veya kurum içi senaryolarda görülebilir; dış işlem güveni için ek doğrulama gerekir. |
| CRL/OCSP kanıtı yok | Sertifikanın iptal edilip edilmediği doğrulama anında kanıtlanamıyor olabilir. | Özellikle arşiv ve onay süreçlerinde bu uyarı ayrıca incelenmelidir. |
| LTV/DSS var | Sertifika, iptal ve zaman kanıtları PDF içine gömülmüş olabilir. | Uzun dönem doğrulanabilirlik açısından olumlu bir işarettir; ayrıntı için LTV/DSS rehberine bakılabilir. |
Sertifika zinciri, kriptografik imza kontrolünden farklıdır
Bir doğrulama motoru önce PDF'in imzalanan ByteRange alanını ve CMS/PKCS#7 imza değerini kontrol eder. Bu kontrol, imzadan sonra belgenin kapsanan bölümünün değişip değişmediğini anlamaya yarar. Sertifika zinciri kontrolü ise imza değerini üreten açık anahtarın güvenilir bir sertifika otoritesi tarafından bağlanıp bağlanmadığını inceler.
Bu nedenle "imza değeri doğru" sonucu ile "imzacı sertifikasına güveniliyor" sonucu aynı şey değildir. Özellikle tedarikçi sözleşmeleri, bordro/onay evrakları, ISO/KVKK kayıtları veya uzun süre saklanacak PDF'lerde bu iki sonuç ayrı ayrı aranmalıdır.
Kök güven havuzu ve resmi listeler neden önemlidir?
Doğrulama sistemi, kök sertifikayı kendi güven havuzunda veya resmi güven listelerinde bulabiliyorsa zinciri daha güçlü yorumlar. Türkiye bağlamında güvenli elektronik imza için sertifika sağlayıcılarının durumu BTK'nın Elektronik Sertifika Hizmet Sağlayıcıları listesi üzerinden; Avrupa Birliği bağlamında ise eIDAS güven hizmetleri için ülkelerin trusted list kayıtları üzerinden kontrol edilir.
Bu nokta V-İmza için özellikle önemlidir: teknik doğrulama sonucu, bir sağlayıcının hukuken nitelikli hizmet sağlayıcı veya QTSP olduğu iddiasının yerine geçmez. V-İmza raporu teknik kanıtları gösterir; resmi statü ve hukuki sonuç, ilgili mevzuat, güven listesi ve işlem bağlamıyla birlikte değerlendirilmelidir. nitelikli elektronik imza yazısında bu ayrım ayrıca ele alınmıştır.
Önemli ayrım: PAdES, LTV, DSS, OCSP veya CRL gibi teknik kanıtlar PDF imzanın doğrulanabilirliğini güçlendirir. Bunlar tek başına "bu imza hukuken kesin niteliklidir" anlamına gelmez; sağlayıcı statüsü, sertifika politikası ve ilgili resmi kayıtlar ayrıca değerlendirilir.
Eksik zincir her zaman sahte belge demek değildir
"Sertifika zinciri bulunamadı" uyarısı ciddidir, fakat her zaman sahtecilik anlamına gelmez. Ara sertifika PDF içine eklenmemiş olabilir, doğrulama ortamının güven havuzu güncel olmayabilir, imza kurum içi/test sertifikasıyla atılmış olabilir veya iptal servislerine erişim geçici olarak sağlanamamış olabilir.
Pratik karar için şu sırayı izlemek daha sağlıklıdır:
- Önce PDF bütünlüğünü kontrol edin: imzadan sonra belge değişmiş mi?
- İmzacı sertifikasının konu, veren, seri numarası ve geçerlilik tarihlerini okuyun.
- Ara ve kök sertifika bağının kurulup kurulmadığını kontrol edin.
- CRL veya OCSP iptal kanıtının varlığına ve zamanına bakın.
- Zaman damgası varsa imza tarihiyle sertifika geçerliliğini birlikte yorumlayın.
- Arşivlenecek belgelerde LTV/DSS/VRI kanıtlarının PDF içinde bulunmasına dikkat edin.
V-İmza ile sonraki adım ne olmalı?
Bir PDF'in sertifika zincirini hızlıca yorumlamak için V-İmza PDF doğrulama aracına belge yüklenebilir. Rapor; imza bütünlüğü, imzacı sertifikası, zincir, CRL/OCSP, zaman damgası ve LTV/DSS gibi alanları birlikte gösterir. Eğer belge PAdES seviyeleriyle ilgiliyse PAdES-BES, B-T, LT ve LTA seviyeleri de ayrıca incelenmelidir.
Sık Sorulan Sorular
Sertifika zinciri olmazsa PDF imzası geçersiz midir?
Her zaman otomatik olarak geçersiz denmez. İmza değeri teknik olarak doğru olabilir; ancak imzacı sertifikasının güvenilir bir köke bağlandığı kanıtlanamadığı için güven yorumu zayıflar. İşlem kritikse ara/kök sertifika, sağlayıcı ve iptal kanıtı ayrıca kontrol edilmelidir.
CRL ve OCSP sertifika zincirinin parçası mıdır?
CRL ve OCSP zincirin halkası değildir; zincirdeki sertifikaların imza anında iptal edilip edilmediğini anlamaya yarayan iptal kanıtlarıdır. Zincir kurulsa bile iptal kanıtı yoksa doğrulama raporu daha temkinli okunmalıdır.
Self-signed sertifika ile atılan PDF imzasına güvenilir mi?
Kendinden imzalı sertifika test veya kapalı kurum içi kullanımda anlamlı olabilir; fakat dış paydaşlarla yapılan resmi veya kritik işlemlerde güven kökü bağı olmadığı için yeterli kabul edilmemelidir. Bu durumda sertifika kaynağı ve işlem bağlamı açıkça doğrulanmalıdır.
LTV/DSS sertifika zinciri sorununu çözer mi?
LTV/DSS, sertifika zinciri ve iptal kanıtlarının PDF içinde saklanmasını sağlayarak uzun dönem doğrulamayı güçlendirir. Ancak gömülen kanıtlar yanlış, eksik veya güvenilmeyen bir köke bağlıysa tek başına tüm güven sorunlarını çözmez.
Kaynaklar
- RFC 5280: Internet X.509 Public Key Infrastructure Certificate and CRL Profile
- ETSI EN 319 102-1 V1.4.1: Procedures for Creation and Validation of AdES Digital Signatures
- ETSI EN 319 142-1 V1.2.1: PAdES Digital Signatures
- European Commission: List of Qualified Trust Service Providers in the EU
- BTK: Elektronik Sertifika Hizmet Sağlayıcıları
