Otwierasz PDF podpisany kwalifikowanym certyfikatem Certum, a Adobe Reader pokazuje żółty trójkąt i komunikat „Poprawność podpisu nieznana” („Validity unknown”)? Spokojnie — w 90% przypadków to nieaktualna lista zaufanych dostawców i fix zajmuje dwie minuty. Poniżej rozkładam temat na czynniki pierwsze, bo „problem z weryfikacją” może oznaczać 4–5 zupełnie różnych rzeczy, a leczenie każdego jest inne.

TL;DR — szybki fix w 2 minuty

1. W Adobe Readerze: Edycja → Preferencje → Menedżer zaufania
2. Sekcja Adobe AATL → kliknij „Uaktualnij teraz”
3. Sekcja EUTL (European Union Trusted Lists) → też „Uaktualnij teraz”
4. Zamknij Reader, otwórz PDF ponownie

Jeśli to nie pomogło — czytaj dalej, bo masz jedną z mniej oczywistych przyczyn.

Dlaczego Adobe pokazuje „Validity unknown” przy Certumie

Adobe Reader nie ufa certyfikatowi „bo jest podpisany przez Certum” — Adobe ufa liście, na której Certum (i inne kwalifikowane CA) się znajduje. Te listy są dwie:

• AATL (Adobe Approved Trust List) — własna lista Adobe, aktualizowana automatycznie mniej więcej co 14 dni. Certum jest na niej od kilku lat.
• EUTL (European Union Trusted Lists) — lista UE z dostawcami kwalifikowanymi z każdego państwa członkowskiego. Od 2016 roku to właściwa lista dla podpisów kwalifikowanych w UE — siedzą tam NCCert, KIR Szafir, EuroCert i Certum.

Jeśli któraś z list nigdy się u Ciebie nie zaktualizowała (świeża instalacja, długo wyłączony komputer, polityka firmowa blokująca aktualizacje) — Reader nie ma jak zweryfikować ścieżki zaufania i pokazuje „nieznana poprawność”. To nie znaczy, że podpis jest zły. To znaczy, że Twoja kopia Adobe nie wie, kim jest Certum.

Fix #1 — aktualizacja AATL i EUTL

Klasyk i pierwsza rzecz do sprawdzenia. Krok po kroku:

1. Otwórz Adobe Reader (DC lub Acrobat)
2. Edycja → Preferencje (Mac: Acrobat → Preferencje)
3. Wybierz kategorię Menedżer zaufania
4. Sekcja Aktualizacje automatyczne dla certyfikatów zaufania zatwierdzonych przez Adobe (AATL) → przycisk „Uaktualnij teraz”
5. Tuż obok jest druga sekcja European Union Trusted Lists (EUTL) → też „Uaktualnij teraz”
6. Upewnij się, że obie opcje „Załaduj zaufane certyfikaty…” są zaznaczone
7. OK, zamknij Reader, otwórz dokument ponownie

U 9 na 10 osób temat zamyka się w tym miejscu.

Fix #2 — uszkodzony trust store (addressbook.acrodata)

Znany bug Adobe: przy aktualizacji AATL/EUTL niektóre certyfikaty zawierające w danych binarnych sekwencję FE FF potrafią „spuchnąć” w lokalnym truststore i wszystkie podpisy oparte o nie nagle są invalid. Objawy: podpis jeszcze wczoraj się weryfikował, dziś już nie, a aktualizacja list nic nie daje.

Lekarstwo — wykasowanie skorumpowanego pliku książki adresowej:

1. Najpierw: Pomoc → Sprawdź aktualizacje i zaktualizuj Reader do najnowszej wersji
2. Zamknij Adobe Reader (sprawdź, czy nie wisi w tle — Task Manager / Activity Monitor)
3. Skasuj plik addressbook.acrodata:
   • Windows: %APPDATA%\Adobe\Acrobat\DC\Security\addressbook.acrodata
     (czyli C:\Users\<TwojUser>\AppData\Roaming\Adobe\Acrobat\DC\Security\)
   • macOS: ~/Library/Application Support/Adobe/Acrobat/DC/Security/addressbook.acrodata
4. Uruchom Reader ponownie
5. Wróć do Menedżer zaufania i zrób świeży update AATL i EUTL

Plik addressbook.acrodata Adobe odbuduje sam przy starcie. Jeśli masz tam ręcznie zaimportowane certyfikaty (rzadkie, ale się zdarza w środowiskach korporacyjnych) — najpierw zrób kopię.

Fix #3 — brak znacznika czasu (TSA)

Kolejny scenariusz: dokument był podpisany rok temu, certyfikat już dawno wygasł, a Reader pokazuje, że „podpis był ważny w momencie weryfikacji” — co jest oczywistym fałszem, bo podpis był ważny w momencie złożenia, nie weryfikacji. Tu wchodzi znacznik czasu z kwalifikowanej TSA (Time Stamping Authority).

Jeśli dokument ma osadzony qualified timestamp, ale Reader go nie używa — przełącz tryb weryfikacji:

1. Preferencje → Podpisy → Weryfikacja → Więcej
2. W sekcji Czas weryfikacji wybierz: „Bezpieczny czas (znacznik czasowy)” zamiast „Bieżący czas”
3. OK, otwórz dokument ponownie

Jeśli dokument nie ma timestampu — to wina podpisującego, nie Twoja. Przy podpisach kwalifikowanych powinno się ZAWSZE używać TSA (Certum udostępnia time.certum.pl, KIR Szafir ma własną, EuroCert też). proCertum SmartSign domyślnie podpisuje z timestampem, ale w starszych wersjach trzeba to było zaznaczyć ręcznie w opcjach.

Fix #4 — to nie jest PAdES, to CAdES

Tu zaczyna się ciekawie. W Polsce wciąż się zdarza, że ktoś podpisuje PDF narzędziem, które generuje osobny plik podpisu (typowo .xades lub .cades) zamiast osadzić podpis w samym PDF. Adobe Reader takiego podpisu nie zweryfikuje, bo nawet go nie widzi — w PDF-ie nie ma żadnego pola podpisu.

Skróty:

• PAdES (PDF Advanced Electronic Signatures) — podpis osadzony bezpośrednio w PDF. Tylko ten Adobe weryfikuje natywnie.
• CAdES (CMS Advanced Electronic Signatures) — podpis w osobnym pliku .p7s / .cades obok dokumentu, albo wbudowany w zewnętrzną kopertę.
• XAdES — wariant XML, też nie dla Adobe.

Jeśli dostałeś PDF + osobny .xades/.cades — weryfikujesz to podpisywarką (np. proCertum SmartSign, Szafir, mObywatel — w zależności od formatu), nie Adobe Readerem. proCertum SmartSign domyślnie podpisuje PDF-y w PAdES, ale przy starszych konfiguracjach trzeba to wymusić w ustawieniach formatu podpisu.

Fix #5 — dokument zmodyfikowany po podpisie

Komunikat: „Podpis jest ważny, ale dokument został zmieniony po podpisaniu”. Czasem to świadoma zmiana, ale częściej — zwykła nieuwaga:

• Ktoś otworzył podpisany formularz, wypełnił kolejne pole i zapisał — podpis nie zezwalał na takie zmiany przyrostowe
• Ktoś przerzucił PDF przez konwerter online lub edytor i ten przepisał plik, niszcząc strukturę podpisu
• PDF został „zoptymalizowany” jakimś narzędziem typu Smallpdf — i tyle

Lekarstwo: poproś nadawcę o oryginalną, niemodyfikowaną kopię. Tej zepsutej już nie naprawisz — to fundamentalna własność podpisu cyfrowego, a nie błąd.

Fix #6 — Protected Mode blokuje OCSP/CRL

Adobe Reader w trybie chronionym (Protected Mode, domyślnie włączony na Windowsie) czasami nie może uderzyć na zewnętrzne serwery sprawdzające status certyfikatu (OCSP/CRL). Najczęściej widać to przy podpisywaniu, rzadziej przy weryfikacji — ale jeśli żaden poprzedni fix nie zadziałał, warto sprawdzić.

Preferencje → Zabezpieczenia (rozszerzone) → odznacz „Włącz tryb chroniony przy uruchamianiu”, restart Readera. Jeśli temat zniknie — wrzuć potem do białej listy serwery Certum (*.certum.pl, *.certum.eu) zamiast trzymać Protected Mode wyłączony na stałe.

Diagnostyka — jak ustalić, co konkretnie boli Readera

Zamiast strzelać, otwórz panel diagnostyczny:

1. Lewy panel Reader → ikona panelu podpisów (pióro)
2. Rozwiń wpis podpisu
3. Pokaż szczegóły zatwierdzenia (Show Signature Properties)

Reader pokaże dokładnie, gdzie ma problem — najczęściej zobaczysz jedno z:

• „The signer’s identity is unknown because it has not been included in your list of trusted certificates” → fix #1 (AATL/EUTL)
• „The certificate chain could not be built” → fix #1 lub #2 (addressbook)
• „Signature is valid, but the document has been altered or corrupted” → fix #5 (modyfikacja)
• „Revocation status could not be determined” → fix #6 (Protected Mode / sieć)
• „The signature includes an embedded timestamp but it could not be verified” → fix #3 (timestamp)

Podsumowanie — w jakiej kolejności sprawdzać

Standardowy flow troubleshootingowy:

1. Update AATL + EUTL (90% przypadków zamyka się tutaj)
2. Update samego Readera + skasowanie addressbook.acrodata + ponowny update list
3. Sprawdzenie panelu szczegółów podpisu — co konkretnie zgłasza Reader
4. W zależności od komunikatu — timestamp, format podpisu, tryb chroniony, modyfikacja dokumentu

Większość zgłoszeń serwisowych w stylu „Adobe nie chce mi sprawdzić podpisu” rozwiązuje się na pierwszym kroku. Te bardziej upierdliwe — na drugim. Reszta to już konkretne, identyfikowalne problemy, a nie ogólne „nie działa”.