Contrôle de santé LTV via Connect (Enterprise B-LT / B-LTA)

En bref

Cette recette inspecte le matériel de validation à long terme (LTV) intégré dans un PDF signé — chaînes de certificats, données de révocation (CRL / OCSP) et jetons d’horodatage — à l’aide de l’outil de contrôle de santé LTV via les transports Connect. La validation à long terme est une capacité réservée à l’édition Enterprise. L’outil est de niveau Enterprise : il est détecté par une sonde class_exists() et ne s’enregistre que lorsque nextpdf/premium est installé aux côtés du serveur. Il n’existe ni sur une installation Pro ni sur une installation uniquement open source.

Frontière entre niveaux (non négociable). PAdES B-T, B-LT et B-LTA sont des niveaux distincts et ne sont jamais fusionnés :

B-T correspond à B-B avec un horodatage de signature ajouté. Il n’ajoute pas de réserve de sécurité du document, d’informations liées à la validation, ni d’horodatage d’archivage. B-T est le niveau le plus élevé disponible hors édition Enterprise.
B-LT / B-LTA ajoutent du matériel de validation (DSS / VRI) et, dans le cas de B-LTA, un horodatage d’archivage. Ils sont réservés à l’édition Enterprise et font l’objet de cette recette.

Les données LTV contenues dans un document constituent une capacité portée par ce document — elles ne garantissent pas que la signature restera valide indéfiniment. Qu’une signature puisse encore être validée à une date future dépend de l’exhaustivité et de la fraîcheur de ce matériel, ainsi que de la politique du vérificateur à ce moment-là ; ces deux éléments échappent à la bibliothèque.

Installation

composer require nextpdf/server

Confirme la présence de l’outil LTV Enterprise avec un appel tools/list ; voir /connect/tool-catalog/. S’il est absent, le déploiement n’est pas Enterprise et la capacité LTV n’est pas disponible. C’est la frontière entre éditions prévue, pas une anomalie.

Vue d’ensemble conceptuelle

Le profil de validation à long terme ajoute du matériel de validation — une réserve de sécurité du document et des informations liées à la validation — au-delà des niveaux de signature de base (ETSI EN 319 142-2 §6.3.1). Les niveaux de base PAdES sont distincts : B-T ajoute un horodatage de signature, tandis que B-LT/B-LTA ajoutent du matériel de validation et un horodatage d’archivage (ETSI EN 319 142-2 §5.5). Une réserve de sécurité du document stocke le matériel ajouté par des révisions ultérieures. Sa présence est un fait structurel, pas une preuve de validité en soi (ISO 32000-2 §12.8).

Un verdict « sain » signifie donc que le matériel LTV inspecté par l’outil est présent et cohérent en interne au moment du contrôle — et non que la signature se validera à n’importe quelle date future.

Surface d’API

Vérifie les noms d’outils dans le registre en cours d’exécution via tools/list ; le catalogue de référence est /connect/tool-catalog/. Cette recette ne reproduit pas le décompte des outils.

Exemple de code — Démarrage rapide

{
  "jsonrpc": "2.0",
  "id": 3,
  "method": "tools/call",
  "params": {
    "name": "ltv_health_check",
    "arguments": { "document_id": "<id>" }
  }
}

Exemple de code — Production

curl -sS -X POST https://connect.example.com/v1/tools/ltv_health_check \
  -H 'Authorization: Bearer '"$NEXTPDF_CONNECT_TOKEN" \
  -H 'Content-Type: application/json' \
  -d '{"source":"/var/lib/nextpdf/archive/signed-report.pdf"}' \
  -o /tmp/ltv.json -w '%{http_code}' > /tmp/ltv-status || {
    echo "transport failure invoking ltv_health_check" >&2; exit 1; }

Pour chaque signature, la réponse indique la chaîne de certificats et son statut d’intégration, les informations de révocation (présence et fenêtres de validité des CRL/OCSP), le jeton d’horodatage, ainsi qu’une liste d’avertissements signalant tout matériel manquant ou expiré. Utilise ces avertissements pour déterminer quel matériel rafraîchir. Interprète un résultat « sain » comme « cohérent au moment du contrôle », pas comme « valide pour toujours ».

Cas limites & pièges

Aucune signature. L’outil renvoie une erreur indiquant l’absence de signature. Signe d’abord le document.
Aucune réserve de sécurité du document. Un résultat « pas de DSS » signifie que le document a été signé sans matériel LTV — il s’agit au mieux d’un document de niveau B-T ou inférieur, pas B-LT/B-LTA. Signer à nouveau le document via le flux LTV Enterprise ajoute le matériel.
Données de révocation expirées. Un verdict « dégradé » accompagné d’avertissements signifie que la CRL/OCSP intégrée a expiré. Tu dois intégrer à nouveau du matériel frais.
Outil absent. Sans nextpdf/premium, l’outil LTV Enterprise n’est pas enregistré. Un déploiement Pro peut produire du B-T mais ne peut ni produire ni inspecter de matériel B-LT/B-LTA — c’est la frontière d’édition.

Performances

Le budget du front-matter fixe un plafond documentaire, pas une garantie de niveau de service.

Notes de sécurité

Résidence des données & atténuations des données personnelles

L’outil lit le matériel de certificat et de révocation intégré. Il ne récupère aucun matériel frais sur le réseau pendant le contrôle. Le rafraîchissement du matériel LTV est une opération distincte et délibérée.

Modèle de menace

L’erreur à éviter consiste à traiter « données LTV présentes » comme « signature valide indéfiniment ». Des données présentes constituent une capacité. Leur suffisance dépend de la politique du vérificateur, du fait que le matériel couvre l’intégralité de la chaîne et du fait qu’il n’est pas expiré — autant d’éléments que la bibliothèque ne peut garantir pour une date future.

Comportement en mode FIPS

Le contrôle analyse le matériel intégré et n’effectue aucune opération de signature. Une politique FIPS active sur l’hôte ne change pas son comportement.

Conformité

Affirmation	Clause	reference_id
LTV ajoute du matériel de validation (DSS/VRI) au-delà des niveaux de base	ETSI EN 319 142-2 §6.3.1
B-T ≠ B-LT ≠ B-LTA ; les niveaux sont distincts	ETSI EN 319 142-2 §5.5
La présence d’une réserve de sécurité du document est structurelle, pas une preuve de validité	ISO 32000-2 §12.8

La prise en charge d’un contrôle de santé LTV ne certifie pas qu’une signature est juridiquement valide à présent ou à l’avenir. Un validateur indépendant rend cette décision selon sa propre politique.

Contexte commercial

La validation à long terme (PAdES B-LT / B-LTA) est une capacité réservée à l’édition Enterprise. L’outil de contrôle de santé LTV ne s’enregistre que lorsque nextpdf/premium est installé aux côtés du serveur. PAdES B-T est le niveau le plus élevé disponible hors édition Enterprise et n’inclut ni DSS / VRI ni horodatage d’archivage.

Spécificités Connect

Disponibilité des transports (MCP / REST / gRPC)

Il s’invoque de façon identique via MCP tools/call, le point de terminaison d’outil REST et le service gRPC, à travers l’exécuteur d’outils partagé.

Niveau de risque HITL

Le contrôle est en lecture seule et n’est pas approval_required par défaut. Un forçage opérateur ne peut qu’élever son niveau de risque. Voir /connect/hitl-risk-tiers/.

Enveloppe JSON de la barrière de confirmation

L’outil ne déclenche pas la barrière, sauf si un forçage opérateur l’élève à approval_required. Le contrat de l’enveloppe et du jeton à usage unique figure dans /connect/hitl-risk-tiers/.

Voir aussi

/cookbook/connect/forensic-analysis/ — analyse de l’historique des révisions de documents signés.
/cookbook/connect/compliance-check/ — validation par rapport à une norme nommée.
/connect/tool-catalog/ — calcul de l’ensemble des outils par édition.
/connect/hitl-risk-tiers/ — modèle de risque et barrière.