Электронная подпись не подтверждается, когда программа проверки не может выстроить доверенную цепочку от подписи документа до аккредитованного удостоверяющего центра, либо когда истёк срок действия сертификата, либо когда файл изменили после подписания. Разберём каждую причину отдельно, покажем, как отличить проблему сертификата от проблемы настройки компьютера, и что нажимать, чтобы вместо красного крестика получить зелёную галочку. Это часть большого материала про то, почему подпись оказывается не валидна, где собраны все сценарии от битого файла до отозванного сертификата.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Почему электронная подпись не подтверждается: разбор причин
Сообщение «подпись не подтверждается» или «статус подписи неизвестен» почти всегда сводится к одной из пяти вещей. Истёк сертификат. Сертификат отозван удостоверяющим центром. На компьютере нет корневого сертификата УЦ или списка отзыва. Не встал крипто-провайдер или крипто-плагин в браузере. И самое неприятное — документ поправили уже после того, как под ним поставили подпись, и хеш перестал сходиться.
Важный момент, который путает почти всех новичков. «Подпись не подтверждается» не равно «документ поддельный». В девяти случаях из десяти сама подпись математически корректна, а спотыкается проверка на том, что программе не хватает данных для проверки доверия — нет корневого «серта», не подгрузился актуальный CRL, часы на машине убежали на пару дней. Это чинится за 10-15 минут. Отдельная история — когда файл реально менялся, тогда никакие настройки не спасут, подпись придётся ставить заново.
В практике Добыто мы разбираем такие обращения пачками, когда компания только перешла на КЭДО и кадровик впервые открывает подписанный сотрудником приказ на чужом компьютере. У него ошибка, у бухгалтера рядом — зелёная галочка на том же файле. Разница — в настройке машины, а не в подписи. Поэтому первый вопрос всегда один: подпись не подтверждается везде или только на конкретном рабочем месте?
Мария Ж, специалист по цифровой подписи и КЭДО:
«Первым делом смотрю, где именно ошибка. Открыла тот же файл на другой машине — галочка зелёная, значит с подписью всё нормально, а проблема в конкретной учётке. Люди же начинают паниковать, «снести подпись», перевыпустить серт… а надо-то просто корневой сертификат УЦ доставить и список отзыва обновить.»
Истёк срок действия сертификата электронной подписи
Квалифицированный сертификат выпускают на 12-15 месяцев, дальше он превращается в тыкву. Если вы проверяете свежий документ, а подпись не подтверждается — глянь дату. Программа проверки честно пишет: «сертификат недействителен, истёк срок действия». Тут нюанс, из-за которого ломается много копий.
Подпись, поставленная в период действия сертификата, остаётся юридически значимой и после его окончания — при условии, что в момент подписания стояла метка времени от доверенного сервиса. Без метки времени доказать, что вы подписали документ вчера, а не после отзыва серта, будет сложно. Поэтому для архивного хранения подпись «ухаживают» — добавляют метки времени и переводят в усовершенствованный формат. Если метки не было и серт истёк, проверяющая программа поставит статус «не удалось проверить» не потому, что подпись плохая, а потому что не может подтвердить момент подписания.
Что делать practically. Проверить срок действия «закрытки» на токене. Если ключ ещё живой, а истёк только сертификат — перевыпустить серт в удостоверяющем центре. Если истекла и «флешка» целиком — получить новую подпись, для юрлиц с 2022 года это бесплатно в ФНС для руководителя. Старые документы, подписанные действующим на тот момент сертификатом, остаются в силе, перевыпуск на них не влияет.
Мария Ж, судебный эксперт по трудовому праву:
«В суде я разбирала спор, где сторона кричала «подпись недействительна, серт-то истёк». А документ подписан за полгода до окончания сертификата, метка времени стоит. Подпись валидна, точка. Истёкший сертификат не отменяет подписи, сделанной когда он ещё действовал — это надо понимать раз и навсегда.»
Сертификат отозван удостоверяющим центром
Отзыв — это когда УЦ занёс серт в список отозванных (CRL) до окончания срока. Причины: скомпрометирован закрытый ключ, сотрудник уволился, реорганизация юрлица, ошибка в данных сертификата. Проверяющая программа при валидации лезет за списком отзыва, находит там ваш серийный номер и ставит красный статус.
Здесь два совершенно разных сценария, которые нельзя путать. Первый — серт правда отозван, тогда подпись под новыми документами ставить нельзя, нужен перевыпуск. Второй, и он частый — серт живой, но программа не смогла скачать актуальный CRL (нет интернета, УЦ недоступен, старый кэш списка). Тогда статус будет «не удалось проверить отозванность», и это лечится обновлением списка отзыва, а не перевыпуском. Отличить одно от другого помогает ручная проверка сертификата на отозванность — через сайт удостоверяющего центра или список CRL напрямую.
Не установлен корневой сертификат УЦ и цепочка доверия
Самая массовая причина, из-за которой подпись не подтверждается на новом компьютере. Чтобы программа доверяла вашей подписи, ей нужна вся цепочка: ваш серт — промежуточный сертификат удостоверяющего центра — корневой сертификат головного УЦ Минцифры. Если хотя бы одно звено не установлено, валидация обрывается со статусом «не удалось построить цепочку сертификатов» или «поставщик доверия не найден».
Корневые и промежуточные сертификаты аккредитованных УЦ лежат на портале Госуслуг и на сайте головного удостоверяющего центра. Скачиваете, устанавливаете корневой в хранилище «Доверенные корневые центры сертификации», промежуточный — в «Промежуточные центры сертификации». После этого проверка достраивает цепочку и подпись подтверждается. На корпоративных машинах этим обычно занимается безопасник или админ через групповые политики, чтобы не бегать по каждому рабочему месту руками.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Когда мы раскатываем КЭДО на компанию, отдельным пунктом в чек-лист внедрения ставим установку корневых сертификатов на все машины кадровиков. Иначе картина классическая: сотрудник подписал приказ, кадровик открывает — «подпись не подтверждается», паника, звонок нам. А это просто корневой серт не доставили. Один раз настроил через политики — и забыл про эти грабли.»
Не работает крипто-провайдер или браузерный плагин
Для проверки квалифицированной подписи по ГОСТ нужен сертифицированный крипто-провайдер — КриптоПро CSP или ВипНет. Если его нет или он слетел после обновления Windows, программа проверки не умеет посчитать хеш по нашим ГОСТовым алгоритмам и честно говорит, что не может проверить подпись. При проверке в браузере добавляется ещё крипто-плагин (КриптоПро ЭЦП Browser plug-in), и он любит отваливаться после обновления браузера.
Читайте нас в мессенджерах
Канал для кадровиков и HR: изменения в законах, практика проверок, шаблоны документов, инструменты подбора и оценки.
Порядок действий. Проверить, установлен ли КриптоПро CSP и не истекла ли его лицензия — демо-режим живёт 90 дней, потом просит ключ. Проверить, включён ли крипто-плагин в расширениях браузера, и не блокирует ли его антивирус. Если проверяете подпись онлайн и всё равно затык — частая причина именно в плагине, у нас про это есть разбор, почему КриптоПро плагин не работает и как его оживить. И банальное, но рабочее: перезагрузить машину после установки крипто-софта, половина проблем уходит после ребута.
Как проверить подпись при ошибке валидации: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Откройте тот же документ на другом компьютере. Если подпись подтверждается — проблема в настройке вашей машины, а не в подписи.
- Шаг 2. Проверьте дату и время на компьютере. Убежавшие часы ломают проверку срока действия сертификата и метки времени.
- Шаг 3. Установите корневой и промежуточный сертификаты удостоверяющего центра с портала Госуслуг в доверенные хранилища.
- Шаг 4. Обновите список отзыва (CRL) с сайта УЦ, чтобы программа проверила отозванность по актуальным данным.
- Шаг 5. Убедитесь, что установлен КриптоПро CSP с действующей лицензией и включён браузерный плагин.
- Шаг 6. Перезапустите проверку. Если статус остался красным и файл менялся после подписания — подпись нужно поставить заново.
Документ изменили после подписания — целостность нарушена
Отдельный случай, где настройками уже не помочь. Подпись привязана к конкретному содержимому файла через хеш. Изменили в документе хоть один символ, пересохранили Word в другом формате, добавили штампик поверх PDF не тем инструментом — хеш пересчитался, и подпись перестала соответствовать документу. Программа выдаёт «документ был изменён после подписания» или «нарушена целостность».
Это не сбой настройки, это защитный механизм, который работает как задумано. Электронная подпись именно для того и нужна — показать, что после подписания в документ не лезли. Что делать? Найти исходный, неизменённый файл с подписью. Если оригинал утерян и правки уже внесены — подписать заново актуальную версию. И на будущее: подписанный документ и файл подписи (сиг-файл при откреплённой подписи) хранят вместе и не трогают. Любое «пересохраню-ка» убивает подпись.
Когда подпись не подтверждается на десятках кадровых документов сразу, а компания уже перевела штат на электронный документооборот — руками разбирать каждый файл долго и рискованно. В сервисе Добыто мы настраиваем проверку и хранение подписей так, чтобы кадровик видел статус каждого документа в реестре, а не открывал файлы по одному. Поможем разобраться, где реальная проблема сертификата, а где просто не хватает настройки на рабочем месте.
Образцы документов для работы с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Заявление на выпуск квалифицированного сертификата ЭП | Скачать |
| Заявление на аннулирование сертификата ЭП | Скачать |
| Доверенность на получение сертификата ЭП | Скачать |
| Согласие на обработку ПДн для выпуска сертификата ЭП | Скачать |
| Соглашение об использовании ПЭП и НЭП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
Проверка электронной подписи онлайн, когда локально не выходит
Когда возиться с настройкой крипто-софта некогда, а результат проверки нужен сейчас — подпись гоняют через онлайн-сервисы. Они сами держат актуальные корневые сертификаты и списки отзыва, поэтому часто подтверждают подпись там, где локальная машина спотыкается. Загружаете документ и файл подписи, сервис возвращает статус: кто подписал, когда, действителен ли серт, целостен ли документ.
Государственный вариант — сервис проверки подписи на портале Госуслуг, он подтверждает и квалифицированную, и неквалифицированную подпись, и машиночитаемую доверенность. В сервисе Добыто мы сделали свою форму проверки прямо в браузере, без установки программ — удобно, когда подпись не подтверждается на рабочем компьютере и нужно быстро понять, дело в файле или в настройке.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
Читайте нас в мессенджерах
Канал для кадровиков и HR: изменения в законах, практика проверок, шаблоны документов, инструменты подбора и оценки.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Стоимость подключения КЭДО с электронной подписью
Итоговая стоимость зависит от численности штата, выбранного тарифа и того, какие виды подписи подключаете — ПЭП, УНЭП или УКЭП. Для проверки и хранения подписей внутри кадрового документооборота подойдут любые тарифы, разница в наборе функций и лимите сотрудников.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО | от 30 ₽ за сотрудника / мес | До 25 сотрудников, ПЭП и УНЭП |
| Бизнес — для среднего бизнеса с полным набором функций | от 50 ₽ за сотрудника / мес | Мин. оплата 50 сотрудников за 30 000 ₽ в год, ПЭП, УНЭП и УКЭП, интеграция с 1С |
| Корпорация — для крупного бизнеса с SLA | По запросу | Выделенный сервер, SLA 99.9%, API и интеграции |
На стоимость влияет численность персонала, набор видов подписи и подключаемые модули вроде электронного архива и интеграции с 1С. Точную сумму под свой штат удобно прикинуть на странице с актуальными тарифами сервиса Добыто, там разложено, что входит в каждый тариф.
Типичные ошибки при проверке подписи и цена ошибки
Первая ошибка — перевыпускать сертификат при первом же красном статусе. Человек видит «подпись не подтверждается», решает, что серт мёртв, идёт в УЦ, платит за перевыпуск, тратит день. А проблема была в несделанной установке корневого сертификата на минуту работы. Цена ошибки — потерянный день и деньги за ненужный перевыпуск, для юрлиц это ещё и поход в ФНС.
Вторая — пересохранять подписанный документ. Кадровик открыл подписанный приказ в Word, что-то поправил в отображении, нажал «Сохранить» — и убил подпись под всеми экземплярами. Восстановить нельзя, только подписывать заново, а если сотрудник уже уволился или в отпуске — собрать подпись повторно бывает нереально. Цена ошибки — документ без юридической силы, риск проблем при проверке ГИТ.
Третья — игнорировать метку времени при архивном хранении. Подписали документ, положили в папку, через год серт истёк, метки времени не было — и доказать момент подписания уже трудно. За время работы сервиса Добыто мы закладываем «ухаживание за подписью» в процесс сразу, чтобы документы годами лежали с подтверждаемым статусом, а не превращались в набор байтов без доказательной силы.
Мария Ж, юрист со стажем более 20 лет:
«Насмотрелась я на эти грабли. Компания подписала сотни документов через КЭДО, а метки времени не подключили — «денежки экономили». Прошло время, сертификаты у части сотрудников истекли, и при трудовом споре часть подписей уже не подтверждается однозначно. Чинить это задним числом почти невозможно. Метку времени надо ставить сразу, а не когда прижмёт.»
Выводы: что делать, если подпись не подтверждается
Красный статус подписи в большинстве случаев говорит не о подделке, а о нехватке данных для проверки доверия. Сначала откройте документ на другой машине: если там подпись подтверждается, проблема в настройке рабочего места, и перевыпускать сертификат не нужно. Проверьте дату и время на компьютере, установите корневой и промежуточный сертификаты удостоверяющего центра с портала Госуслуг, обновите список отзыва CRL и убедитесь, что стоит КриптоПро CSP с действующей лицензией и включённым браузерным плагином.
Отдельно держите в голове два необратимых сценария. Если сертификат правда отозван удостоверяющим центром — под новыми документами подпись ставить нельзя, нужен перевыпуск. Если документ меняли после подписания и хеш не сходится — подпись восстановить невозможно, придётся подписывать актуальную версию заново. Чтобы подписи оставались валидными годами, ставьте метку времени в момент подписания и переводите подпись в усовершенствованный формат для архива.
Практический минимум для кадровой службы: хранить подписанный файл и файл подписи вместе и не пересохранять их, вести реестр статусов документов, а корневые сертификаты и крипто-провайдер разворачивать на рабочих местах централизованно через политики. Тогда сообщение «подпись не подтверждается» перестаёт быть стопором и превращается в короткую диагностику на 10-15 минут.
Часто задаваемые вопросы
Подпись не подтверждается только на одном компьютере — это опасно?
Действует ли подпись после того, как истёк сертификат?
Как понять, отозван сертификат или просто не скачался список отзыва?
Где взять корневой сертификат удостоверяющего центра?
Почему после обновления Windows подпись перестала подтверждаться?
Можно ли проверить подпись без установки КриптоПро?
Что означает статус «документ был изменён после подписания»?
Почему подпись в PDF не отображается штампом, хотя документ подписан?
Влияет ли неправильное время на компьютере на проверку подписи?
Нужна ли для проверки чужой подписи такая же подпись у меня?
Подпись сотрудника в КЭДО не подтверждается у кадровика — что делать?
Разобрались, почему подпись не подтверждается и как отличить проблему сертификата от проблемы настройки. Когда компания ведёт кадровые документы в электронном виде, за статусами подписей удобнее следить в одной системе, а не открывать файлы по одному. Сервис Добыто КЭДО подключает все три вида подписи, хранит документы вместе с подписями и показывает кадровику статус каждого файла в реестре.
Мы подключили к КЭДО сотни компаний по всей стране — от небольших ИП до организаций с тысячами сотрудников — и в каждом проекте настраиваем проверку и архивное хранение подписей так, чтобы документы оставались валидными годами.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового документа
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Хранение документов до 50 лет с сохранением доступа к архиву даже при расторжении договора с провайдером
- Виджеты исполнительской дисциплины — видно, кто не подписал и у кого заканчивается подпись
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Мобильное приложение для подписания с телефона — без похода в отдел кадров