Narodne novine d.d. objavljuju ovaj video u najboljoj volji da pomognu korisnicima i ograđuju se od odgovornosti i od pojašnjavanja pojedinih dijelova Public Key Infrastrukture.
Za sve što vam nije jasno oko manualne provjere, kontaktirajte izdavatelja potpisa.
Za potpunu provjeru potrebno je SHA1 vrijednosti sa stranice izdavatelja certifikata preuzeti koristeći https vezu a na http.
FINA servira SHA1 vrijednosti putem http a ne putem sigurne https veze, što znači da su podaci koje gledate možda bili modificirani prije dostavljanja te ne možete biti sigurni da li ste uistinu na Fininoj stranici.
Kada se ostvari HTTPS veza prema izdavetlju i mjestu gdje su objavljene digest vrijednosti certifikata, tada je prije svega potrebno provjeriti certifikat i izdavatelja same stranice gdje se nalazite. To kod primjera u ovom slučaju nije moguće jer fina servira sadržaj putem http veze, za koju ne znate gdje ste spojeni i/ili da li su podaci manipulirani prije nego su dostavljeni na vaše računalo.

Podudaranje SHA1 vrijednosti mora biti 100% postotno. Ukoliko nije, nije ispravan potpis/certifikat.
Cijela EU Trusted Lista u machine readable formatu se nalazi ovdje: https://ec.europa.eu/information_society/policy/esignature/trusted-list/tl-mp.xml
Iz te liste ide pointer na HR listu: http://www.mingo.hr/public/trgovina/TSL-HR.xml . Tu si izlistani svi valjani CAs (certificate authorities) za RH tj. organizacije koje mogu izdati potpise koji se moraju priznati u procesu javne nabave. Navedena lista je servirana od MINGO-a putem http, što nije adekvatno za 100 postotnu pravu provjeru.

Crtifikati izlistani tamo nemaju digest vrijednosti (SHA1 ili SHA256), stoga je za prosječnu osobu gotovo nemoguće proći kroz cijelu manualnu proceduru.
U tim slučajevima, savjetujemo kontaktirati MINGO: http://www.mingo.hr/page/kategorija/kontakt



Logika iza svega što video prikazuje je (podrazumijeva da znate da je certifikat izdan u FINI; i da znate gdje se na njihovim stranicama nalaze digesti svih valjanih root certifikata).
Potrebno je provjeriti ROOT certifikate tj. sve certifike koji su iznad finalnog potpisanog certifikata (provjeriti cijeli chain of trust), kako bi se osiguralo da je odgovarajuća institucija uistinu ta koja je potpisala finalni certifikat.
Ukoliko je certifikat izvan HR tada se stvar komplicira jer je prvo potrebno ici na EU trusted listu.
Navedene situacije ne možemo ovdje pokriti zbog kompleksnosti same tematike.