無料タイムスタンプサーバー一覧とルート証明書の信頼済みリスト対応状況
最近、PDFにタイムスタンプ署名を付与する実験的なウェブアプリを2つ(Timestamped Photo、 Online PDF Timestamper)リリースした。
どちらも無料で使えるタイムスタンプサーバー(TSA)としてSSL.comのhttp://ts.ssl.com/を使用させてもらっているが、 世の中には他にも無料で使うことができるTSAがあり、それぞれWindowsとAdobeで信頼されるルート証明機関として登録されているのかどうかを調べた。
調査方法
無料で使えるタイムスタンプサーバーの一覧表として、List of free rfc3161 servers. から抽出したものを使用した。
それぞれのTSAに対して、Tanaka Akira氏によるpdftimestampをフォークしてタイムスタンプ署名のみを行うことができるようにしたpdftimestampでタイムスタンプ署名の付与とLTV対応(検証情報の追加)を試みた。
pdftimestampでタイムスタンプ署名付与に成功したもののLTV対応に失敗したものに関してはAdobe Readerで手作業で「検証情報の追加」ができるかどうかを確認した。
タイムスタンプ署名付与に成功したPDFファイルをWindows 11上で動作するAcrobatとEdgeで開き、署名が有効と判断されるかどうかを確認した。
結果
| TSA URL | 動作 | Acrobat | Edge |
|---|---|---|---|
| http://dss.nowina.lu/pki-factory/tsa/good-tsa | ✅ | ❌ | ❌ |
| https://freetsa.org/tsr | ✅ | ❌ | ❌ |
| http://time.certum.pl | ✅ | ❌ | ✅ |
| https://time.mconnect.mc | ❌ | - | - |
| http://timestamp.acs.microsoft.com | ✅ | ❌ | ❌ |
| https://timestamp.aped.gov.gr/qtss | ✅ | ✅ | ❌ |
| http://timestamp.apple.com/ts01 | ✅ | ❌ | ❌ |
| http://timestamp.comodoca.com | 🟡 | ✅ | ✅ |
| http://timestamp.digicert.com | ✅ | ✅ | ✅ |
| http://timestamp.entrust.net | 🟡 | ✅ | ✅ |
| http://timestamp.globalsign.com/advanced | ✅ | ❌ | ✅ |
| http://timestamp.identrust.com | 🟡 | ✅ | ✅ |
| http://timestamp.sectigo.com | 🟡 | ✅ | ✅ |
| http://timestamp.sectigo.com/qualified | ✅ | ✅ | ❌ |
| http://timestamp.ssl.trustwave.com | ❌ | - | - |
| http://ts.cartaodecidadao.pt/tsa/server | 🟡 | ✅ | ❌ |
| http://ts.quovadisglobal.com/ch | ✅ | ✅ | ✅ |
| http://ts.quovadisglobal.com/eu | ✅ | ✅ | ✅ |
| http://ts.ssl.com | ✅ | ✅ | ✅ |
| http://tsa.baltstamp.lt | ✅ | ✅ | ✅ |
| http://tsa.belgium.be/connect | ✅ | ✅ | ❌ |
| https://tsa.cesnet.cz:3162/tsa | 🟠 | ❌ | ❌ |
| http://tsa.izenpe.com | 🟡 | ✅ | ❌ |
| http://tsa.lex-persona.com/tsa | ✅ | ❌ | ❌ |
| https://tsa.mahidol.ac.th/tsa/get.aspx | 🟠 | ❌ | ❌ |
| http://tsa.sinpe.fi.cr/tsaHttp/ | 🟠 | ❌ | ❌ |
| http://tsa.swisssign.net | ✅ | ✅ | ❌ |
| https://tsa.wotrus.com | ✅ | ✅ | ❌ |
| http://tss.accv.es:8318/tsa | 🟡 | ✅ | ✅ |
動作の凡例:
- ✅ : タイムスタンプ署名付与とLTV対応(検証情報の追加)ができた
- 🟡 : タイムスタンプ署名付与はできたが、pdftimestampでは検証情報の追加ができなかった。Adobe Acrobatで手作業で追加することはできた
- 🟠 : タイムスタンプ署名付与はできたが、pdftimestampでは検証情報の追加ができず、Adobe Acrobatでも追加できなかった
- ❌ : タイムスタンプ署名付与ができなかった
AcrobatとEdgeの凡例:
- ✅ : 「すべての署名が有効」と表示された
- ❌ : 「署名に問題があります」「署名の一部を確認できませんでした」と表示された
考察
デフォルトでAcrobatはAdobe Approved Trust List(AATL)にあるルート証明機関の証明書を有効と判断しており、これがWindowsのものと必ずしも一致しないため、AcrobatとEdgeで署名の検証結果が異なる場合がある。
pdftimestampでLTV対応に失敗したものについては、おそらく使用しているライブラリのApache PDFBoxの制限、もしくは実行環境(Debian 13)によるものと思われる。Acrobatでタイムスタンプ署名の付与を行った場合の結果は未確認である。
日本語のページではアメリカSSL.com(ts.ssl.com)が標準で使えるタイムスタンプサーバとして紹介されていることが多いが、今回調べたところ
- http://timestamp.digicert.com
DigiCert, Inc. アメリカ合衆国 コードサイニング証明書の署名で使用できるタイムスタンプサーバのURL - http://ts.quovadisglobal.com/eu http://ts.quovadisglobal.com/ch
QuoVadis(DigiCert傘下) オランダ / ベルギー / スイス Timestamp Server - http://tsa.baltstamp.lt
UAB Baltstamp リトアニア BALTSTAMP TSA DISCLOSURE STATEMENT V4.0
も広く使えそうなことが判明した。