Handtekening-niveaus
Handtekening-niveaus
De app ondersteunt vier gestandaardiseerde PAdES-niveaus. Elk niveau voegt meer verificatiedata toe aan de ondertekende PDF. Kies wat past bij uw retentie- en verificatiebehoeften.
De vier PAdES-niveaus
| Niveau | Wat zit erin | Geschikt voor |
|---|---|---|
| PAdES-B-B (Basic) | Handtekening + cert | Intern gebruik, korte levensduur. Verifieerbaar zolang het cert geldig is. |
| PAdES-B-T (Timestamp) | B-B + vertrouwde tijdstempel | Aanbevolen default. Bewijst exact wanneer ondertekend. Overleeft latere certificaat-intrekking. |
| PAdES-B-LT (Long-Term) | B-T + volledige cert-keten + CRL ingebed | Documenten die offline of jaren na ondertekening verifieerbaar moeten zijn. PDF is self-contained. |
| PAdES-B-LTA (Long-Term Archival) | B-LT + archive-tijdstempel | Regulatoire archieven met decennia-lange geldigheid. Bestand tegen toekomstige algoritme-veroudering. |
Hoe kiezen
| U wilt... | Gebruik |
|---|---|
| Snelle interne ondertekening | B-B |
| Klantgericht, audit-vriendelijk | B-T (aanbevolen) |
| Offline verificatie, 5+ jaar retentie | B-LT |
| Decennia-lange regulatoire archieven | B-LTA |
Wat elk niveau garandeert
B-B: "Iemand met dit cert heeft ondertekend." Nutteloos zodra het cert verloopt.
B-T: "Op dit exacte moment ondertekend door iemand met dit cert." Wordt het cert later ingetrokken, dan bewijst u dat de handtekening voor intrekking is gezet.
B-LT: "Jaren verifieerbaar, geen server nodig." Alle trust-data in de PDF. Zelfs als uw CA offline gaat, blijft de handtekening valideerbaar.
B-LTA: "Decennia-lang verifieerbaar." Periodieke archive-tijdstempels voegen verse hashes toe, zodat de handtekening geldig blijft naarmate cryptografische algoritmes verouderen.
Standaardniveau instellen
Signing Settings → Signature Level bepaalt de default voor de hele site. De meeste deployments gebruiken B-T.
U kunt het niveau later wijzigen, maar reeds ondertekende documenten houden hun oorspronkelijke niveau — opnieuw ondertekenen wordt niet ondersteund.
Tijdstempelautoriteit
Niveaus B-T en hoger gebruiken een externe Timestamp Authority (TSA). Default: Sectigo (http://timestamp.sectigo.com) — gratis, geen registratie, RFC 3161-compliant. U kunt in Signing Settings een andere TSA opgeven.
Is de TSA onbereikbaar op het moment van ondertekenen, dan faalt ondertekenen. Geen automatische fallback naar B-B.
Bestandsgrootte-impact
| Niveau | Geschatte overhead |
|---|---|
| B-B | ~3 KB |
| B-T | ~5 KB |
| B-LT | ~30-100 KB (CA-keten + CRL) |
| B-LTA | ~30-100 KB + ~5 KB per archive-tijdstempel |
Verwaarloosbaar voor de meeste use cases.
Gerelateerd
- Document tekenen — de ondertekenflow
- Een handtekening verifiëren — wat verifiërende partijen zien
- Beveiliging & audit — sleutel- en audit-bescherming