Open Source
Signature de document
Certificats
Signature
23 juin 2023
> Avis de non-responsabilité : Je ne suis pas un avocat et ceci n'est pas un conseil légal. Nous prévoyons de publier un cadre beaucoup plus spécifique sur le sujet de la validité des signatures.
Ceci est le premier épisode de la nouvelle série Building Documenso, où je décris les défis et les choix de conception que nous faisons tout en construisant la plateforme de signature la plus ouverte au monde.
Comme vous l'avez peut-être entendu, nous avons récemment lancé la version 0.9 de Documenso sur GitHub revue par la communauté et elle est maintenant disponible via le plan des premiers adoptants. L'un des choix les plus fondamentaux que nous avons dû faire pour cette première version était le choix du certificat. Bien qu'il soit intéressant de savoir ce que nous avons choisi, cela servira également de guide pour tous ceux qui font le même choix pour l'auto-hébergement de Documenso.
> Question : Pourquoi ai-je besoin d'un certificat de signature de document pour m'auto-héberger ?
> Réponse courte : Insérer les images d'une signature dans le document n'est qu'une partie du processus de signature.
Pour avoir un document réellement signé numériquement, vous avez besoin d'un certificat de signature de document qui est utilisé pour créer la signature numérique qui est insérée dans le document, aux côtés de celle visible¹.
Lorsque vous hébergez un service de signature vous-même, comme nous le faisons, il y a quatre choix principaux pour gérer le certificat : Ne pas utiliser de certificat, créer le vôtre, acheter un certificat de confiance, et devenir un fournisseur de service de confiance pour émettre votre propre certificat de confiance.
1. Pas de certificat
Beaucoup de services de signature n'utilisent en fait pas de signatures numériques réelles à part l'image insérée. Ils n'insèrent qu'une image des signatures dans le document que vous signez. Cela peut être fait et est légalement acceptable dans de nombreux cas. Cette option n'est pas directement supportée par Documenso sans changer le code.
2. Créez le vôtre
Puisque la cryptographie derrière les certificats est disponible librement en tant que logiciel source ouvert, vous pourriez générer le vôtre en utilisant OpenSSL par exemple. Comme c'est à peine plus de travail que l'option 1 (en utilisant Documenso au moins), ce serait ma recommandation d'effort minimal. Avoir un certificat auto-créé (« auto-signé ») n'ajoute pas grand-chose en termes de réglementation mais garantit l'intégrité du document, ce qui signifie qu'aucun changement n'a été effectué après signature². Ce que cela ne vous donne pas, c'est le célèbre coche verte dans Adobe Acrobat. Pourquoi ? Parce que vous n'êtes pas sur la liste des fournisseurs qu'Adobe « fait confiance ».³
3. Acheter un certificat « de confiance ».
Il existe des Autorités de Certification (AC) qui peuvent vous vendre un certificat⁴. Le service qu'elles fournissent est qu'elles valident votre nom (certificats personnels) ou le nom de votre organisation (certificat d'entreprise) avant de créer votre certificat, tout comme vous l'avez fait dans l'option 2. La différence est qu'elles sont inscrites sur les listes de confiance mentionnées précédemment (par exemple, celle d'Adobe) et donc, les signatures résultantes obtiennent une jolie coche verte dans Adobe Reader⁵
4. Devenir vous-même une Autorité de Certification (AC) de confiance et créer votre propre certificat
Cette option est un effort incroyablement complexe, nécessitant beaucoup d'efforts et de compétences. Cela peut être fait, car il existe plusieurs AC dans le monde. Est-ce que cela vaut l'effort ? Cela dépend beaucoup de ce que vous essayez d'accomplir.
Ce que nous avons fait
Avoir brièvement introduit les options, voici ce que nous avons fait : Puisque nous visons à élever le niveau de prolifération et de confiance des signatures numériques, nous avons choisi d'acheter un « Certificat Personnel Avancé pour Entreprises/Organisations » de WiseKey. Ainsi, les documents signés avec la version hébergée de Documenso ressemblent à ceci :
Il n'y avait pas de raisons plus profondes pour lesquelles nous avons choisi WiseKey, autre que le fait qu'ils offraient ce dont nous avions besoin et qu'il n'y avait pas de raison de chercher beaucoup plus loin. Bien que je n'aie pas encore cartographié l'ensemble du marché des certificats, je suis assez sûr qu'un produit similaire pourrait être trouvé ailleurs. Bien que nous ayons opté pour l'option 3, choisir l'option 2 pourrait être parfaitement raisonnable selon votre cas d'utilisation.⁶
> Bien que ceci soit notre configuration, pour l'instant, nous avons un plan plus vaste pour ce sujet. Bien que les certificats SSL mondialement fiables sont disponibles gratuitement, grâce à Let's Encrypt, cela fait un moment maintenant, il n'existe pas de chose similaire pour la signature de documents. Et il devrait y en avoir. Ne pas avoir d'infrastructure gratuite et de confiance pour signer bloque une toute nouvelle génération de produits de signature de se créer. C'est pourquoi nous commencerons à travailler sur l'option 4 quand le moment sera venu.
Avez-vous des questions ou des réflexions à ce sujet ? Comme toujours, faites-le moi savoir dans les commentaires, sur twitter.com/eltimuro ou directement : documen.so/timur Rejoignez la communauté des auto-hébergeurs ici : https://documen.so/discord
Meilleures salutations de Hambourg,
Timur
[1] Il existe différentes approches pour signer un document. Pour des raisons de simplicité, ici nous parlons d'un document avec X images de signature insérées, qui est ensuite signé une fois par le service de signature, c'est-à-dire Documenso. Si chaque signature visuelle devait avoir la sienne numériquement (par exemple, QES — niveau 3 de l'eIDAS), le cas est un peu plus complexe.
[2] Bien sûr, le fournisseur de services de signature peut techniquement changer et resigner le document, surtout dans le cas mentionné au [1]. Cela peut être contrecarré en exigeant de chaque signataire des signatures numériques réelles, qui sont liées à leur identité/compte. Créer un système complètement sans confiance dans ce contexte est cependant extrêmement difficile à faire et n'est pas le besoin commercial le plus pressant pour l'industrie à ce stade, à mon avis. Bien que ce serait bien.
[3] Adobe, comme l'UE, a une liste d'organisations qu'ils font confiance. La coche verte d'Adobe est alimentée par la liste de confiance d'Adobe, si vous voulez être reconnu par les normes de l'UE ici : https://ec.europa.eu/digital-building-blocks/DSS/webapp-demo/validation, vous devez être sur la liste de confiance de l'UE. Il est possible de figurer sur chaque liste, bien que cette dernière nécessite beaucoup plus de travail.
[4] Techniquement, ils signent votre demande de création de certificat (créée par vous), contenant vos informations avec leur certificat (qui est de confiance), rendant votre certificat de confiance. De cette façon, tout ce que vous signez avec votre certificat est considéré comme de confiance. Ils ont créé leur certificat tout comme vous, la différence est qu'ils sont sur les listes mentionnées au [3]
[5] Pourquoi Adobe a-t-il le droit de dire ce qui est de confiance ? Ils possèdent simplement le lecteur PDF le plus utilisé. Et comme tout le monde vérifie là où ils considèrent les fournisseurs de confiance, cela a du poids. La question de savoir si cela devrait être comme ça est une autre affaire.
[6] Les signatures auto-signées, même les signatures visuelles pures, sont pleinement légalement contraignantes. Pourquoi vous les utilisez change principalement votre confiance dans la signature et le fardeau de la preuve. De plus, certaines industries nécessitent un certain niveau de signatures, par exemple, les prêts de détail (QES/ niveau 3 de l'eIDAS dans l'UE).