Истёк сертификат при подписании — штатная ситуация для любого пользователя ЭЦП: сертификат УКЭП или УНЭП действует, как правило, 12-15 месяцев, и момент его окончания часто совпадает с горящим документом. В статье разберём, что делать в момент отказа программы подписи, сохраняют ли силу документы, подписанные до истечения серта, как быстро перевыпустить подпись в УЦ ФНС и Госключе и как метки времени спасают архив от юридических претензий. Тема входит в цикл материалов про программы для подписания документов ЭЦП, где описан весь инструментарий от КриптоАРМ до Госключа.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Почему сертификат электронной подписи истекает и что это значит
Сертификат — одна из трёх частей усиленной электронной подписи наряду с открытым и закрытым ключом. В нём указано, кому и кем выдана подпись и период «действителен с — по». Как только период закончился, криптопровайдер отказывается формировать подпись этим ключом. Ошибка выглядит по-разному: КриптоПро CSP пишет про недействительный сертификат, веб-плагин просто не показывает серт в списке, а Госключ предлагает выпустить подпись заново. Смысл один — подписать текущим ключом больше нельзя.
Срок действия ограничен требованиями 63-ФЗ и регламентами удостоверяющих центров: криптографические ключи стареют, и регулятор требует их периодической ротации. Стандартный срок — год, реже 15 месяцев. Отдельный случай — лицензия КриптоПро CSP, вшитая в сертификат ФНС: она действует ровно столько, сколько сам сертификат, и после истечения провайдер тоже перестаёт работать с другими ключами, если у вас нет полной лицензии. Про это в практике Добыто спотыкается каждый третий клиент при первом перевыпуске.
Нюанс в том, что истечение срока и отзыв сертификата — разные вещи. Отзыв происходит досрочно по заявлению владельца в УЦ (например, при увольнении сотрудника или компрометации закрытого ключа), истечение — автоматически по календарю. Для проверяющего документа результат похож, а вот процедуры восстановления отличаются.
Действителен ли документ, подписанный до истечения сертификата
Документ, подписанный в период действия сертификата, юридическую силу сохраняет и после его окончания. Проблема в другом: спустя год-два нужно доказать, что подписание произошло именно тогда, когда сертификат ещё действовал. Сама по себе подпись формата CMS момент времени не фиксирует. Штампик визуализации на PDF, где напечатан номер серта и срок действия, доказательством не служит — это картинка для пользователя, юридической силы она не несёт.
Доказательную базу дают два механизма. Первый — штамп времени от доверенной службы TSA: в момент подписания служба получает хэш документа и возвращает подписанную метку с точным временем. Службы штампов времени есть у ФНС и у всех аккредитованных УЦ. Второй — OCSP-ответ, подтверждающий, что на момент подписания сертификат не был отозван. Подпись, дополненная этими доказательствами, называется усовершенствованной (форматы CAdES-T, CAdES-X Long Type 1, CAdES-A) и проверяется даже после истечения срока действия сертификата.
Мария Ж, судебный эксперт по трудовому праву:
«В спорах об увольнении суд первым делом смотрит не на плашку с подписями, а на файлы подписи и метки времени. Были известные дела против крупных работодателей, где сотрудники заявляли, что не подписывали соглашение, и суды вставали на их сторону. Если у вас на документе нет штампа времени, доказать момент подписания после истечения серта — задача со звёздочкой.»
По кадровым документам требования жёстче, чем по первичке: сроки хранения доходят до 50 лет, а сертификат живёт год. Поэтому 377-й закон и практика Минтруда подталкивают работодателей к усовершенствованным форматам подписи и переподписанию архивов — подробнее об этом ниже.
Что делать, если сертификат истёк прямо в момент подписания
Первое — не пытаться обойти систему. Подписать задним числом в нормальном сервисе КЭДО нельзя, и это правильно: любая манипуляция с датами разваливается при первой экспертизе. Второе — определить, какой именно сертификат истёк: ваш личный, сертификат в цепочке УЦ или корневой. Если программа ругается на цепочку, а ваш серт по датам живой, лечится установкой недостающих сертификатов цепочки, а не перевыпуском. Мы в Добыто закладываем эту проверку в скрипт техподдержки первым пунктом — половина обращений «истёк сертификат» на деле оказывается разрывом цепочки доверия.
Если истёк именно ваш сертификат, порядок такой: перевыпустить подпись, затем повторно отправить документ на подписание. Документ, который завис на маршруте согласования, возвращается кадровику — в сервисе Добыто это происходит автоматически по таймауту этапа, и кадровик видит в виджете исполнительской дисциплины, у кого подпись закончилась.
Как действовать при истёкшем сертификате: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Откройте сертификат (КриптоПро CSP — Сервис — Просмотреть сертификаты в контейнере) и проверьте даты «действителен с — по». Убедитесь, что истёк именно ваш серт, а не сертификат в цепочке УЦ.
- Шаг 2. Если разорвана цепочка — установите корневые и промежуточные сертификаты УЦ и повторите подписание. Перевыпуск не нужен.
- Шаг 3. Если истёк личный сертификат — подайте заявление на перевыпуск: руководитель или ИП — в УЦ ФНС, сотрудник — в аккредитованный УЦ или через приложение Госключ.
- Шаг 4. После выпуска установите новый сертификат на рабочее место (или просто откройте Госключ — там всё уже внутри приложения) и проверьте подписание на тестовом документе.
- Шаг 5. Верните зависшие документы на маршрут и подпишите заново. Даты в документах при необходимости актуализируйте — подписывать задним числом нельзя.
Если сертификаты сотрудников истекают вразнобой, документы зависают на маршрутах, а кадровик узнаёт об этом от разъярённого бухгалтера — эту рутину снимает система КЭДО. В Добыто виджет показывает, у кого заканчивается подпись, а массовый перевыпуск запускается одной кнопкой.
Подписать документ электронной подписью онлайн
Как перевыпустить сертификат: УКЭП, УНЭП и Госключ
Руководители организаций и ИП получают УКЭП в удостоверяющем центре ФНС бесплатно, носитель (флешка Рутокен или JaCarta) покупается отдельно. Продлить действующий сертификат ФНС можно дистанционно через личный кабинет налогоплательщика, пока он не истёк — это главный аргумент не тянуть до последнего дня. После истечения придётся идти в инспекцию с паспортом, СНИЛС и токеном.
Сотрудникам для кадровых документов УКЭП чаще всего избыточна. УНЭП выпускается в приложении Госключ за несколько минут: нужна подтверждённая учётная запись на Госуслугах и телефон. УКЭП в Госключе тоже выпускается дистанционно, но потребуется биометрический загранпаспорт нового образца и смартфон с NFC. Важный момент: закрытка Госключа хранится только на вашем телефоне. Удалили приложение или забыли пароль — подпись потеряна, выпускается новая, с новым сроком действия. Порядок работы УНЭП Госключа закреплён постановлением Правительства от 01.12.2021 № 2152, а проверить статус своих сертификатов можно в личном кабинете на портале Госуслуг.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Работодатель не вправе перекладывать расходы на подпись на работника — это позиция ТК РФ. Поэтому связка выглядит так: руководителю — УКЭП из ФНС на токене, сотрудникам — УНЭП через Госключ, это бесплатно и без визита в УЦ. А облачные КЭП от коммерческих УЦ — это уже другие денежки, и нужны они не всем.»
Если после перевыпуска нужно оперативно подписать зависший документ, а стационарного рабочего места под рукой нет, выручает онлайн-подписание: разбор вариантов есть в материале о том, как подписать документ УКЭП онлайн без установки тяжёлого софта.
Образцы и памятки для работы с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Памятка по настройке КЭП для налоговой | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Приказ о введении КЭДО (образец) | Скачать |
| Приказ о КЭДО (образец) | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
В таблицу включено 8 документов вместо 10: остальные позиции категории в источнике — тексты законов и приказов, которые по правилам блока в подборку практических файлов не входят.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Типичные ошибки при работе с истекающими сертификатами
Ошибка первая — подписание «на флажке», за день-два до окончания серта. Мотив понятный: перевыпуск требует времени, а документы ждать не хотят. Цена ошибки: без штампа времени подпись, сделанная в последние часы действия сертификата, в споре выглядит уязвимо, а если процесс подписания растянулся (контрагент подписал через неделю), вторая подпись уже не встанет. В деньгах это повторное оформление комплекта и, в кадровых спорах, риск восстановления работника с оплатой вынужденного прогула — суммы от нескольких сотен тысяч рублей.
Ошибка вторая — забытые подписи уволенных сотрудников. Сертификат в реестре компьютера или на токене в сейфе продолжает действовать до конца срока, а МЧД, выданная на физлицо без указания должности, не аннулируется автоматически при увольнении. Мотив — «само истечёт». Цена: любое несанкционированное подписание от имени компании и разбирательство, кто нажал кнопку. УКЭП уволенного нужно отзывать заявлением в УЦ или ФНС, а не просто сносить из реестра — удаление с компьютера сертификат не аннулирует.
Ошибка третья — хранение подписанного архива без переподписания. Организация экономит на усовершенствованной подписи, а через 3-4 года при проверке ГИТ или в суде не может подтвердить действительность подписей на трудовых договорах. Цена: экспертизы, восстановление документов на бумаге, штрафы по ст. 5.27 КоАП. Логику в требовании хранить кадровый документ 50 лет при годовом серте искать бессмысленно — его нужно просто выполнить технически, метками времени и архивными подписями.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Самые обидные грабли — это когда компания честно перешла на КЭДО, а через год у половины штата разом истекли серты, потому что выпускали всех в один день. Мы теперь при массовой выдаче подписей сразу ставим напоминание за 30 дней до окончания — и кадровик перевыпускает волнами, без затыка на маршрутах.»
Усовершенствованная подпись: страховка от истечения сертификата
Для документов длительного хранения решение одно — переводить подпись в усовершенствованный формат. Штамп времени фиксирует момент подписания, OCSP-ответ подтверждает, что сертификат не был отозван, архивная метка заверяет оба доказательства и переподписывается по мере старения криптоалгоритмов. Серверные решения (КриптоАРМ Server и аналоги) делают это фоном: периодически проверяют электронный архив, находят документы, требующие улучшения подписи, и дополняют их автоматически, без участия сотрудников.
В сервисе Добыто вся цепочка подписей фиксируется с отметками времени, а электронный архив хранит документы вместе с файлами подписи до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером. Для проверки при ГИТ выгружается юридически значимый архив: исходные документы, sig-файлы и доказательства подлинности, а не просто PDF со штампиками.
Мария Ж, юрист со стажем более 20 лет:
«Кэдошники любят показывать красивую плашку на PDF, но суду нужна не картинка, а сиг-файл и штамп времени. Когда выгружаете архив с подписями — проверьте, что там лежат именно файлы подписи. Это та мелочь, которая через пять лет решает исход дела.»
Стоимость КЭДО с контролем сроков сертификатов
Итоговый бюджет зависит от численности штата, набора видов подписи (ПЭП, УНЭП, УКЭП) и требуемых интеграций. Тарифы сервиса Добыто построены по модели оплаты за сотрудника в месяц.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| Старт (до 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка) | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес (ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, электронный архив) | от 50 ₽ за сотрудника / мес | минимальная оплата 50 сотрудников за 30 000 ₽ в год |
| Корпорация (выделенный сервер, SLA 99.9%, персональный менеджер, API) | По запросу | крупный бизнес |
| УКЭП руководителя в УЦ ФНС | бесплатно, носитель отдельно | руководитель / ИП |
| УНЭП сотрудника через Госключ | бесплатно | подтверждённая учётка Госуслуг |
На стоимость влияет доля сотрудников с УКЭП, глубина интеграции с учётной системой и требования к архиву. Сориентироваться по конфигурации под ваш штат помогут актуальные тарифы сервиса Добыто.
Выводы: истёк сертификат при подписании
Истечение сертификата останавливает только новые подписания — документы, подписанные в период его действия, силу сохраняют. Ключевое условие доказуемости — штамп времени и OCSP-ответ, которые фиксируют момент подписания и статус сертификата. Сертификаты УКЭП и УНЭП действуют, как правило, 12-15 месяцев, и продлить сертификат ФНС дистанционно можно только до его окончания.
Практика простая: проверять дату окончания серта заранее, руководителям продлевать подпись через личный кабинет ФНС до истечения, сотрудникам выпускать УНЭП в Госключе, а подписи уволенных отзывать заявлением в УЦ, а не удалением из реестра. Для документов длительного хранения обязателен перевод подписи в усовершенствованный формат с архивной меткой — иначе через несколько лет архив превращается в набор непроверяемых файлов.
Тенденция ближайших лет — массовый уход на мобильные подписи и автоматический контроль сроков на стороне систем ЭДО. Чем раньше компания встроит напоминания о перевыпуске и фоновое улучшение подписи в свои процессы, тем меньше документов зависнет на маршрутах в неудобный момент.
Часто задаваемые вопросы
Можно ли подписать документ задним числом, если сертификат уже истёк?
Сколько действует сертификат электронной подписи?
Чем истечение сертификата отличается от его отзыва?
Программа пишет, что сертификат недействителен, хотя срок не вышел. Почему?
Что будет с подписью в Госключе, если удалить приложение?
Нужно ли отзывать подпись уволенного сотрудника?
Что такое штамп времени и зачем он нужен?
Что такое усовершенствованная электронная подпись?
Действует ли лицензия КриптоПро после истечения сертификата ФНС?
Как проверить документ, подписанный истёкшим сертификатом?
Можно ли иметь две действующие подписи одновременно?
Истёкший сертификат перестаёт быть проблемой, когда сроки подписей контролирует система, а не память кадровика. В Добыто виджеты показывают, у кого заканчивается подпись и какие документы зависли на маршруте, перевыпуск для нового отдела запускается массово, а каждая подпись фиксируется с отметкой времени — архив остаётся проверяемым и через десятилетия.
Сервис работает с ПЭП, УНЭП и УКЭП, включая Госключ, и сопровождает клиента от выдачи первых подписей до полностью самостоятельной работы. Мы подключали КЭДО и командам до 25 человек, и компаниям с распределёнными обособками — схема перевыпуска и контроля сроков отработана на сотнях проектов.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Виджеты исполнительской дисциплины — видно, у кого заканчивается подпись и кто не подписал документ
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Массовая выдача подписей одним нажатием — при приёме нового отдела не нужно оформлять каждого поштучно
- Автозакрытие этапа по таймауту — если сотрудник не подписал за N дней, документ возвращается кадровику
- Мобильное приложение для подписания с телефона — без похода в отдел кадров
Подключить КЭДО с контролем сроков сертификатов
Следите за нашими каналами
Никакой воды — только важное и новости первыми.