Сертификат проверки электронной подписи — это электронный документ, который выдаёт удостоверяющий центр и который связывает конкретного человека или организацию с ключом проверки подписи. Без него ни одна проверка подписи не имеет смысла: именно сертификат отвечает на вопрос «кто подписал документ». В статье разобран состав полей сертификата, виды и сроки действия, порядок проверки на Добыто и Госуслугах, стоимость выпуска для физлиц и юрлиц в 2026 году. Материал входит в большой блок про проверку электронной подписи, где описаны все способы валидации и работа с файлами формата SIG, P7S, SGN.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое сертификат проверки электронной подписи
Согласно пункту 2 статьи 2 63-ФЗ «Об электронной подписи», сертификат ключа проверки ЭП — это электронный или бумажный документ, выданный удостоверяющим центром либо доверенным лицом УЦ. Его функция одна — подтвердить, что конкретный ключ проверки принадлежит конкретному владельцу. Дальше от этого простого факта строится вся конструкция юридической значимости.
В обиходе люди путают термины. Говорят «получил электронную подпись в налоговой» — а на самом деле получают флешку с закрытым ключом и файл сертификата рядом. Сама подпись — это число, которое вычисляется отдельно для каждого документа. Сертификат — штука долгоиграющая, живёт до 15 месяцев (УКЭП руководителя из ФНС) или до 3 лет (связка КриптоПро CSP 5.0 с Рутокен ЭЦП 2.0). Сертификат отвечает на вопрос «кто подписал», подпись — на вопрос «этот ли документ подписан и не менялся ли».
Логика такая. У владельца два ключа: закрытый (им подписывают) и открытый (ключ проверки), связанные математически. В сертификат «зашивается» открытый ключ плюс реквизиты владельца — ФИО, СНИЛС, ИНН, наименование организации. И всё это подписывается электронной подписью самого УЦ. Цепочка замкнулась: я доверяю УЦ, УЦ подтверждает, что ключ принадлежит Иванову, значит документ подписан Ивановым.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Люди годами говорят ‘моя ЭЦП’, показывая на флешку. А в юридическом смысле на флешке лежит закрытка — закрытый ключ, и файлик сертификата рядом. Сама подпись формируется в момент, когда вы нажимаете ‘подписать’. Это важно понимать, потому что украсть ‘подпись’ нельзя — можно украсть токен с закрытым ключом и попользоваться им до отзыва сертификата».
Сертификат нужен только для усиленных подписей — УКЭП и УНЭП. Для простой электронной подписи сертификат не требуется. Более того, для неквалифицированной подписи сертификат может вообще не создаваться, если соответствие подписи признакам НЭП обеспечивается иначе — это указано в части 5 статьи 14 63-ФЗ.
Что содержит сертификат ключа проверки подписи
Состав полей регулируется сразу двумя документами: статьёй 14 63-ФЗ (для любых сертификатов) и статьёй 17 63-ФЗ плюс приказом ФСБ от 27.12.2011 №795 (для квалифицированных). С 1 сентября 2025 года часть 3 статьи 14 изменена 94-ФЗ от 21.04.2025 — добавились требования к идентификации владельца.
Обязательные поля для обычного сертификата по части 2 статьи 14 63-ФЗ:
- уникальный номер сертификата, даты начала и окончания срока действия
- ФИО для физлиц, наименование и место нахождения для юрлиц и госорганов
- уникальный ключ проверки электронной подписи
- наименование средства ЭП и стандарты, которым соответствуют ключ и ключ проверки
- наименование удостоверяющего центра, выдавшего сертификат
- иная информация для квалифицированного сертификата — по части 2 статьи 17
Для квалифицированного сертификата список расширенный. Приказ ФСБ №795 добавляет обязательные поля: СНИЛС владельца-физлица, ИНН юрлица или ИП, для ЮЛ — ФИО физлица, действующего от имени организации без доверенности, наименование средства ЭП и средств УЦ, реквизиты сертификата аккредитованного УЦ.
С 1 сентября 2024 года появилось ещё одно поле. Закон 457-ФЗ от 04.08.2023 и приказ ФСБ от 02.02.2024 №50 ввели требование указывать в сертификате срок действия ключа ЭП. Раньше в сертификате был только срок действия самого сертификата. Срок действия закрытого ключа, которым собственно подписывают, мог быть короче, и внешне это не было видно. Теперь информация прямо в сертификате.
Если выдаётся сертификат юридическому лицу, наряду с наименованием ЮЛ указывается физлицо, действующее от имени ЮЛ без доверенности — то есть руководитель. Это часть 3 статьи 14 в редакции от 1 сентября 2025 года. Для сертификата юрлица, не являющегося квалифицированным, наряду с наименованием может указываться физлицо на основании доверенности.
Отдельная категория — обезличенные сертификаты. Выдаются на юрлицо или ИП, привязываются к информационной системе. Такими сертификатами подписывают документы, формируемые автоматически — счета, квитанции, запросы в госорганы. Сотрудники пользоваться ими не могут — прямое ограничение 63-ФЗ. В поле владельца указывается наименование организации плюс идентификатор ИС.
Виды сертификатов электронной подписи
Классификация строится по двум основаниям: по виду подписи (квалифицированный и неквалифицированный) и по типу владельца.
По виду подписи:
- Квалифицированный сертификат — выдаёт только аккредитованный УЦ или УЦ ФНС. Создаётся с использованием сертифицированных ФСБ средств УЦ. Это официальный документ (ст. 17 63-ФЗ). Используется для УКЭП.
- Неквалифицированный сертификат — выдаёт любой УЦ без аккредитации. Используется для УНЭП. Может не создаваться, если подпись формируется по соглашению сторон без сертификата.
По типу владельца:
- Сертификат физлица — для любого гражданина. С 1 сентября 2023 года сотрудники организаций используют именно такие сертификаты вместе с машиночитаемой доверенностью. Срок действия 12-15 месяцев.
- Сертификат руководителя ЮЛ или ИП — выдаёт УЦ ФНС бесплатно. Срок 15 месяцев. Выдаётся лицу, действующему без доверенности от имени организации.
- Обезличенный сертификат — для информационных систем. Ставится на сервер, используется для автоматического подписания потока документов.
Мария Ж, судебный эксперт по трудовому праву:
«Путаница в головах после сентября 2023 года не улеглась до сих пор. Раньше бухгалтер получал сертификат на юрлицо и спокойно подписывал отчётность. Сейчас только два варианта — либо директор своей ‘тройкой’ из ФНС, либо сотрудник сертификатом физлица плюс МЧД. Сертификаты сотрудников юрлица образца 2022 года попросту больше не действительны. До сих пор встречаю компании, где бухгалтер по инерции тычет старой флешкой. Документ вроде подписался, но юридической силы нет».
Отдельно стоит упомянуть сертификат УНЭП, который выпускает сервис КЭДО сотруднику в личном кабинете. Это облачный сертификат: хранится в рамках сервиса, скопировать его нельзя, использовать вне системы тоже. Такая схема работает только при наличии соглашения между работодателем и сотрудником об использовании УНЭП (статья 22.3 ТК РФ).
Кто выдаёт сертификаты и сколько они действуют
В стране три типа удостоверяющих центров. Наверху цепочки — Головной удостоверяющий центр Минцифры. Он подписывает сертификаты всех аккредитованных УЦ. Ниже — аккредитованные коммерческие УЦ (СКБ Контур, Тензор, Калуга Астрал). Отдельная ветка — УЦ ФНС и доверенные лица ФНС.
Распределение по видам сертификатов:
- УЦ ФНС России — выдаёт квалифицированные сертификаты директорам ООО и ИП. Бесплатно. Лично в инспекцию с паспортом, СНИЛС, ИНН и токеном. Срок 15 месяцев. Список пунктов выдачи — на сайте ФНС России.
- Аккредитованные УЦ — выдают квалифицированные сертификаты физлицам. Платно. В среднем 1 500-3 500 рублей за выпуск. Токен покупается отдельно — 1 500-3 000 рублей.
- Сервисы КЭДО — выпускают УНЭП сотрудникам бесплатно в рамках тарифа. Подпись облачная.
Срок действия ключа ЭП (закрытого) и срок действия сертификата (ключа проверки) — разные вещи. Подписывать документ можно только до истечения срока закрытки. Проверять подпись — пока действует сертификат.
Типовые сроки:
- УКЭП руководителя из ФНС — 15 месяцев
- УКЭП физлица из аккредитованного УЦ — 12-15 месяцев
- УКЭП при связке КриптоПро CSP 5.0 + Рутокен ЭЦП 2.0 — до 3 лет
- НЭП облачная в сервисе КЭДО — год, перевыпуск бесплатный
- Сертификат с метками времени — до 12 лет для проверки
Ближе к концу срока сертификат нужно перевыпускать. Если это сертификат из ФНС и у вас есть действующий токен, сделать это можно удалённо через личный кабинет налогоплательщика. Если срок прошёл — только ехать в инспекцию заново.
Для архивного хранения свыше 10 лет обычной УКЭП не хватит. Нужна усовершенствованная подпись — CAdES-X Long Type 1 или CAdES-A, с меткой времени от службы TSP и ответом OCSP о статусе сертификата на момент подписания. Такие подписи проверяются десятилетиями после истечения срока самого сертификата.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«В практике внедрения КЭДО постоянно сталкиваемся с вопросом про архивы. Клиент спрашивает: сотрудник подписал УНЭП заявление на отпуск, а через 10 лет сможем это доказать в суде? Короткий ответ — да, если в системе настроено усовершенствование подписи. Мы в Добыто закладываем штампы времени по умолчанию, чтобы потом не было сюрпризов. Если берёте просто ‘коробочный’ КЭДО без этой функции — проверяйте регламент хранения, это не та тема, где можно сэкономить».
Как устроена цепочка доверия сертификатов
Вся проверка подписи держится на цепочке сертификатов. Минимум два звена — сертификат владельца и сертификат УЦ. Максимум — три (плюс сертификат ГУЦ Минцифры). Без целостной цепочки криптопровайдер при открытии подписанного документа выдаст ошибку «не удалось построить цепочку сертификатов».
Как это работает. При подписании документа своей УКЭП от Ростелекома в файл подписи «зашивается» не только ключ проверки, но и сведения о сертификате Ростелекома как УЦ. Ростелеком как аккредитованный УЦ имеет сертификат, подписанный Минцифрой — это ГУЦ. При проверке программа последовательно идёт вверх по цепочке, упирается в корневой сертификат Минцифры.
Для квалифицированной подписи цепочка всегда доверенная и устанавливается на токен вместе с сертификатом. Для неквалифицированной корневой сертификат УЦ на компьютер по умолчанию не ставится. Нужно ручное действие: открыть сертификат, установить в «Доверенные корневые центры сертификации».
Помимо цепочки, нужна проверка статуса сертификата на момент подписания. Сертификат может быть отозван до истечения срока. Например, если владелец потерял токен и обратился в УЦ за отзывом. Тогда УЦ включает сертификат в список отозванных (CRL) и публикует его. Второй вариант — получить ответ OCSP в реальном времени.
Если сертификат отозван — все документы, подписанные после включения в список отзыва, считаются подписанными недействительной подписью. Проверка выдаст ошибку.
Цепочки сертификатов, отзыв, метки времени, архивное хранение — это те темы, на которых ломаются самописные решения. Если в штате нет специалиста по CAdES-форматам, лучше взять готовый сервис, где эта обвязка уже настроена на стороне вендора.
В Добыто мы закладываем штампы времени, проверку статусов сертификатов через OCSP и архивные метки по умолчанию. Клиент получает юридически значимый кадровый архив с горизонтом проверки свыше 10 лет без дополнительных настроек.
Как проверить сертификат и увидеть его содержимое
Способов посмотреть, что лежит в сертификате, несколько. Зависит от того, хотите проверить свой сертификат на компьютере или чужой сертификат в составе присланного документа.
Для проверки своего сертификата:
- Через КриптоПро CSP. Пуск — Все программы — КРИПТО-ПРО — Сертификаты пользователя. Вкладка Личное — Сертификаты. Двойной клик по сертификату — откроются вкладки «Общие», «Состав», «Путь сертификации». Видно ФИО, СНИЛС, ИНН, УЦ, срок действия, серийный номер, алгоритмы ГОСТ.
- Через MMC. Вводим certmgr.msc в строке «Выполнить», идём в «Личное» — «Сертификаты».
- Через Госуслуги. Личный кабинет — «Настройки и безопасность» — «Электронная подпись». Видны все выпущенные сертификаты, статус, даты действия и реквизиты УЦ.
Для проверки подписи под чужим документом:
- Сервис Добыто «Проверка подписи». Бесплатный онлайн-инструмент. Загружаете документ и файл подписи (или присоединённую подпись одним файлом). Сервис показывает владельца сертификата, срок действия, издателя, статус подписи. Лимит файла — 25 МБ.
- Госуслуги. Загрузка файлов, отчёт о проверке. Отдельно проверяются УКЭП, УНЭП и МЧД.
- КриптоАРМ. Настольное приложение с расширенным отчётом. Показывает CAdES-формат подписи, наличие метки времени, OCSP-ответы.
Как проверить сертификат на Добыто: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Откройте сервис проверки подписи на https://dobyto.ru/stati/proverka-podpisy/.
- Шаг 2. Выберите тип подписи — открепленная (два файла: документ + файл подписи .sig, .sgn, .p7s) или присоединенная (один файл со встроенной подписью).
- Шаг 3. Загрузите файлы через drag-and-drop или кнопкой «Выбрать файл». Лимит на каждый файл — 25 МБ.
- Шаг 4. Поставьте галочку согласия на обработку персональных данных по 152-ФЗ.
- Шаг 5. Нажмите «Проверить подпись». Сервис проверит целостность подписи, покажет владельца сертификата, срок действия, издателя и выведет итоговый статус.
Образцы кадровых документов с применением электронной подписи
Открыть список документов
| Документ | Скачать |
|---|---|
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Правила обработки персональных данных | Скачать |
| Приказ о КЭДО | Скачать |
Типичные проблемы с сертификатами
Сертификаты ломают подписание чаще, чем алгоритмы криптографии. Ситуации, которые регулярно всплывают у клиентов, и что с ними делать.
| Проблема | Решение |
|---|---|
| Не удалось построить цепочку сертификатов | Установить корневой сертификат УЦ в «Доверенные корневые центры сертификации». Для ФНС — скачать сертификат Минцифры и ГУЦ с сайта налоговой. |
| Истёк срок действия сертификата | Перевыпустить. Для УКЭП из ФНС — через личный кабинет налогоплательщика при наличии действующего токена, либо очно в инспекции. |
| Забыл пароль от облачной НЭП | В личном кабинете КЭДО нажать «Обновить подпись». Придумать новый пароль. Сертификат перевыпускается бесплатно. |
| Потерял токен с УКЭП | Немедленно позвонить в УЦ и отозвать сертификат. Иначе нашедший может подписывать от вашего имени до конца срока действия. |
| Сертификат сотрудника ЮЛ выдан до 01.09.2023 | Перевыпустить как сертификат физлица. Оформить МЧД от имени организации. Старые сертификаты юридически не действуют с 31.08.2024. |
Мария Ж, HR-эксперт с 13-летним стажем:
«Самый частый затык при проверке подписи — люди сохраняют подписанный документ как обычный PDF и удивляются, что нет ‘синенького квадратика’. Ну нет штампика — и что? Наличие визуализации это не признак подписанности. Подпись — это отдельный файл рядом или вшитая в документ информация в контейнере CMS. Визуализация опциональна. Можно подписать документ, не увидев ни одной плашки. И это будет валидная подпись, которая защитит вас в суде».
В практике Добыто КЭДО мы видим, что в компаниях со штатом от 200 человек массовые проблемы с сертификатами случаются в двух точках — при подключении нового сотрудника и при перевыпуске УКЭП руководителя. Мы закладываем эти точки в план внедрения отдельно.
Стоимость выпуска сертификата электронной подписи
Итоговая сумма зависит от того, какой сертификат нужен, от способа получения и от необходимости покупать токен. В Добыто КЭДО электронные подписи для сотрудников (ПЭП и УНЭП) входят в стоимость тарифа — покупать их отдельно не нужно.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| Тариф «Старт» (до 25 сотрудников) | от 30 ₽ за сотрудника / мес | ПЭП и УНЭП входят |
| Тариф «Бизнес» (неограниченно сотрудников) | от 50 ₽ за сотрудника / мес | ПЭП, УНЭП, УКЭП |
| Тариф «Бизнес» (минимальная оплата) | от 30 000 ₽ / год | 50 сотрудников |
| Тариф «Корпорация» (крупный бизнес) | по запросу | SLA 99.9%, API |
| УКЭП руководителя в УЦ ФНС | бесплатно | очно, по паспорту |
| Токен Рутокен Lite / ЭЦП 2.0 | от 1 500 ₽ | покупается отдельно |
Итоговая стоимость складывается из подписки на сервис КЭДО, цены токенов для руководителей и лицензии КриптоПро CSP при необходимости — актуальные тарифы Добыто КЭДО дают точное понимание, сколько выйдет подключение под вашу численность штата.
Выводы: сертификат проверки электронной подписи
Сертификат ключа проверки электронной подписи — это основа юридической значимости любой усиленной ЭП. Без действующего сертификата проверить, кто подписал документ, невозможно; все требования к составу зафиксированы в статьях 14 и 17 63-ФЗ, приказе ФСБ №795 и приказе ФСБ №50 от 02.02.2024. С 1 сентября 2024 года в квалифицированный сертификат добавлено поле со сроком действия ключа ЭП, с 1 сентября 2025 года действуют поправки 94-ФЗ по идентификации владельца.
На практике есть три контура, которые стоит проверить каждому пользователю ЭП. Во-первых, срок действия собственных сертификатов — перевыпускать нужно за 2-3 недели до истечения. Во-вторых, актуальность вида сертификата: сертификаты сотрудников юрлиц, выданные до 01.09.2023, не действуют, подписание ими юридически ничтожно. В-третьих, наличие корневых сертификатов УЦ и Минцифры в системе — без них цепочка доверия ломается.
Основные тренды — удлинение сроков действия сертификатов до 3-12 лет при использовании меток времени, удалённый перевыпуск через Госуслуги и биометрию, массовое применение обезличенных сертификатов для автоматического подписания в информационных системах. Для компаний с кадровым архивом свыше 10 лет критично переходить на усовершенствованные форматы подписи — CAdES-X Long и CAdES-A.
Часто задаваемые вопросы
В чём разница между сертификатом ключа проверки и самой электронной подписью?
Обязательно ли получать сертификат в ФНС для директора?
Можно ли перевыпустить сертификат удалённо?
Что такое СНИЛС в сертификате и зачем он нужен?
Можно ли подписать документ, если сертификат истёк?
Как узнать, отозван ли сертификат контрагента?
Что происходит с подписью, если сертификат отозван после подписания?
Чем отличается сертификат для УКЭП и для УНЭП?
Нужен ли МЧД, если есть сертификат физлица?
Можно ли хранить на одном токене несколько сертификатов?
Что такое обезличенный сертификат и зачем он нужен?
Сколько действует сертификат из ФНС и можно ли его продлить?
Что делать, если в сертификате ошибка в ФИО или реквизитах?
Если вы читаете эту статью, чтобы разобраться, какой сертификат и какая подпись нужны компании для кадрового документооборота — расскажу, как это решает сервис Добыто. Мы разрабатываем платформу КЭДО, в которой работа с сертификатами и подписями уже настроена: ПЭП и УНЭП для сотрудников выпускаются бесплатно в личном кабинете, УКЭП руководителя подключается на стороне заказчика, все этапы подписания фиксируются с метками времени.
За время работы Добыто мы подключили более 500 компаний разного масштаба — от 25-местных тарифов «Старт» до корпоративных внедрений с выделенным сервером и SLA 99.9%. Платформа включена в Реестр российского ПО, соответствует 63-ФЗ, 377-ФЗ и 152-ФЗ. Электронный архив по умолчанию формирует подписи в формате CAdES-A с архивной меткой, что даёт горизонт проверки свыше 10 лет.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП и УКЭП — для любого кадрового процесса в одном сервисе
- Мобильное приложение для подписания документов с телефона: в командировке, в отпуске, из дома
- Готовый коннектор с 1С:ЗУП и Boss-Кадровик — ставится за час без привлечения разработчиков
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора
- Прозрачное ценообразование — от 30 руб. за сотрудника в месяц, без скрытых модулей в КП