Estoy intentando agregar una firma digital a un documento en Microsoft Word para Microsoft 365 MSO (versión 2110). Al firmar, Word dice:

The certificate you selected cannot be verified. Please check your network connection.

Puedo firmar el documento de todos modos, pero " Firma recuperable " se muestra en el campo de firma. Los detalles dicen (nuevamente):

The signer's certificate can't be verified, please try again later or check your network connection.

La investigación mostró que el problema parece ser bastante común. En la mayoría de los casos, no se confía en un certificado de la cadena. Para mí, el certificado (cadena) se muestra como válido.

Mi cadena de certificados consta de una CA raíz y el certificado que estoy usando para firmar el documento. Ambos certificados son de creación propia o autofirmados; la CA raíz está instalada como una de las autoridades de certificación raíz de confianza y puedo ver que se confía en la cadena como se esperaba. Esto implica que ambos certificados son válidos (no vencidos, no revocados). Mi conexión a Internet funciona y el reloj del sistema es correcto.

No hay CRL involucrada. Sin embargo, para asegurarme de que Word no espera uno, probé una configuración similar con una CA intermedia que especifica un punto de distribución de CRL. Pude verificar que la palabra solicita la CRL especificada (CRL sin revocaciones). El resultado fue el mismo que en el escenario simplificado descrito anteriormente.

Preguntas :

  • ¿Por qué se requiere realmente una conexión a Internet en este escenario? ¿Qué comprueba realmente Word (en línea)?
  • ¿Qué está causando el error de "firma recuperable"? ¿Cómo hacer que un certificado autofirmado sea aceptado al 100% sin advertencias?

Actualización: después de copiar mi certificado (John Doe) de Personal a Personas de confianza , el error desaparece. Esto plantea dos nuevas preguntas: ¿Por qué Word no confía en mis certificados personales y, lo que es más importante, por qué tengo que confiar en certificados individuales (personas) cuando ya confío en el emisor de certificados (CA) ? Creo que esto contradice el principio de la cadena de confianza. Me gustaría evitar tener que confiar en certificados individuales, por eso tengo la CA.


Detalles de la captura de pantalla y el certificado:

Detalles de la firma digital y el certificado

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: [removed]
        Signature Algorithm: sha256WithRSAEncryption
        Issuer: C = DE, O = [removed], CN = [removed] Root CA
        Validity
            Not Before: Nov 24 12:49:00 2021 GMT
            Not After : Dec 24 12:49:00 2022 GMT
        Subject: CN = John Doe, emailAddress = [email protected]
        Subject Public Key Info:
            [removed]
        X509v3 extensions:
            X509v3 Basic Constraints: critical
                CA:FALSE
            X509v3 Subject Key Identifier: 
                [removed]
            X509v3 Key Usage: 
                Digital Signature, Key Encipherment, Data Encipherment
            Netscape Cert Type: 
                SSL Client, S/MIME
    Signature Algorithm: sha256WithRSAEncryption
         [removed]
-----BEGIN CERTIFICATE-----
[removed]
-----END CERTIFICATE-----
no answer