Электронная подпись на документе оказалась недействительной — это значит, что программа проверки не подтвердила хотя бы одно из условий: целостность файла, действительность сертификата на момент подписания или доверие к выпустившему его удостоверяющему центру. Из статьи вы поймёте, почему подпись слетает в красный статус, как отличить техническую ошибку настройки от реальной проблемы документа, что делать с уже подписанным файлом и как защитить себя при споре с контрагентом или работником. Разберём проверку через Госуслуги, КриптоПро и сервис Добыто, восстановление цепочки сертификатов, штампы времени и судебную практику. Тема входит в большой материал про проверку электронной подписи, где собран весь цикл — от снятия протокола до экспертизы в суде.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что означает недействительная электронная подпись на документе
Недействительность — это вывод программы проверки, а не приговор документу. Когда вы загружаете файл и сик-файл в проверяющий сервис, крипта прогоняет несколько контролей сразу. Сошёлся хэш документа с тем, что зашит в подпись? Действовал ли сертификат в момент подписания? Не отозван ли он? Выстраивается ли цепочка до корневого сертификата аккредитованного удостоверяющего центра? Достаточно одного несовпадения — и вы видите красный крестик вместо зелёной галочки.
Тут важно сразу развести два разных случая. Первый — подпись валидная, но ваш компьютер не может это подтвердить. Не установлен корневой сертификат, нет нужного крипто-провайдера, слетел плагин в браузере. Файл в порядке, проблема на вашей стороне. Второй случай хуже — подпись действительно нерабочая: документ изменили после подписания, сертификат был отозван или истёк, а штампа времени никто не поставил. Это уже проблема самого документа, и одной перенастройкой её не лечат.
Для усиленной подписи — что неквалифицированной, что квалифицированной — механизм одинаковый. Сначала считается хэш, такая однонаправленная функция, которая превращает весь текст документа в одно длинное число. Потом это число подписывается закрытым ключом. При проверке вторая сторона заново вычисляет хэш и сверяет. Совпали — документ не меняли, не совпали — изменили хотя бы букву. Поэтому «подпись не прошла» почти всегда означает одно из двух: либо документ не тот, либо сертификату нельзя доверять в данный момент.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Первое, что я говорю клиенту, когда у него подпись ушла в красную зону — не паникуй и не пересоздавай документ. В девяти случаях из десяти это не косяк подписанта, а просто на машине проверяющего не установлен корневой серт или отвалился крипто-плагин. Зелёная галочка не появилась — это ещё не значит, что подпись битая.»
Почему электронная подпись оказывается недействительной: основные причины
Причин, по которым подпись слетает, немного, и почти все повторяются от случая к случаю. От причины зависит, что делать дальше.
Документ изменили после подписания. Самое серьёзное. Открыли подписанный PDF, что-то поправили, пересохранили — хэш поехал, подпись больше не сходится. При присоединённой подписи такое поймать легче, всё лежит в одном файле. С отсоединённой подписью история тоньше: файл с откреплённой УКЭП легко перепутать — отправите новую версию документа со старым сик-файлом, и проверка честно покажет, что это разные файлы.
Истёк срок действия сертификата. Сертификат в основном выдают на год, иногда дольше — бывают и на 12 лет. Наступает дата, и сертификат перестаёт действовать. Если документ подписали впритык к концу срока, а проверяют через полгода — встаёт вопрос: в какой вообще момент стоял этот документ под подписью? Без штампа времени доказать момент подписания нельзя, и подпись уходит в недействительные.
Сертификат отозвали. Закрытка скомпрометирована, сотрудник уволился, токен потеряли — владелец или удостоверяющий центр отзывает сертификат и вносит его в список отозванных. Всё, что подписано после внесения в список, проверку не пройдёт. Коварный момент: можно подписать документ ровно в тот промежуток, когда серт уже отозвали, а информация ещё не разошлась. Тогда без ОЦСП-ответа, фиксирующего статус на момент подписания, вы не докажете, что серт был живой.
Разрыв цепочки сертификатов. Частая история с неквалифицированной подписью. У УКЭП цепочка до Минцифры выстраивается автоматически, корневые сертификаты ставятся на токен и компьютер при выпуске. А для УНЭП корневой серт ваша система по умолчанию не ставит — она не обязана доверять всему подряд. Образовался разрыв — крипто-провайдер ругается, что не найден корневой сертификат, и подпись не проверяется.
Не та программа или нет крипты. Документ подписан присоединённой подписью, а вы открываете его без плагина — видите содержимое, но подпись не читается. Или нет КриптоПро CSP, не установлен крипто-плагин для браузера. Файл целый, подпись валидная, просто проверить нечем.
Путаница с видом подписи. Простой подписью пытаются подтвердить документ, которому нужна как минимум неквалифицированная. ПЭП в принципе не умеет подтверждать целостность — она фиксирует только факт подписания и личность подписанта, криптографических преобразований с текстом не происходит. Если документу требовалось подтверждение неизменности, ПЭП его не даст по своей природе.
Мария Ж, судебный эксперт по трудовому праву:
«Самая обидная причина недействительности — истёкший серт без штампа времени. Подпись была честная, документ настоящий, но доказать, в какой момент его подписали, уже нечем. Я всегда советую закладывать вот эти плюшки от удостоверяющего центра — метку времени и ОЦСП-ответ. Денюжки небольшие, а в суде это разница между выиграл и проиграл.»
Как проверить, почему подпись недействительна: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Откройте сертификат подписи и проверьте срок действия — графа «действителен с… по…». Если дата подписания выходит за этот срок, причина в истёкшем сертификате.
- Шаг 2. Проверьте цепочку сертификатов. Откройте свойства сертификата, вкладку с путём сертификации. Если видите ошибку про корневой сертификат — цепочка разорвана, нужно доустановить корневой серт удостоверяющего центра.
- Шаг 3. Сверьте, тот ли файл вы проверяете. При отсоединённой подписи загрузите именно тот документ, который подписывали, вместе с его сик-файлом. Лишний пробел или другая версия файла дадут несовпадение хэша.
- Шаг 4. Прогоните документ через независимый сервис проверки — Госуслуги, КриптоПро или Добыто. Если на чужом сервисе подпись валидна, проблема была в настройке вашего рабочего места.
- Шаг 5. Снимите протокол проверки. В нём будет указан конкретный статус подписи и причина — это документ, на который потом можно ссылаться при споре.
Что делать, если электронная подпись на документе недействительна
Порядок действий зависит от того, на чьей стороне сбой. Сначала исключаем техническую причину, потому что она встречается чаще всего и лечится за десять минут.
Если подпись не проходит на вашем компьютере, проверьте установку корневых сертификатов. Дважды кликните по сертификату и при необходимости установите его как доверенный — но прочитайте, что именно устанавливаете, потому что после этого Windows будет доверять этому сертификату всегда. Обновите или переустановите КриптоПро CSP, проверьте крипто-плагин в браузере. Если документ упорно не читается, посмотрите, в какой программе для подписания документов ЭЦП он создавался — иногда нужен конкретный плагин для открытия присоединённой подписи. Потом перепроверьте документ на стороннем сервисе. Прошёл — значит, подпись была в порядке, и переподписывать ничего не нужно.
Если же подпись недействительна по существу — документ менялся, сертификат отозван или истёк без штампа времени — переподписать задним числом не получится. Два пути. Если сертификат подписанта ещё действует, документ подписывают заново, в актуальной редакции, с действующим сертификатом и желательно сразу со штампом времени. Если документ важен для спора и переподписать нельзя, фиксируйте всё — сам файл, файл подписи, протокол проверки — и собирайте опосредованные доказательства момента подписания.
Опосредованные доказательства — это логи. В нормальной системе КЭДО фиксируется, когда сотрудник открыл документ, когда подписал, когда отправил. Эти отметки помогают восстановить картину даже без классического штампа времени. В сервисе Добыто вся цепочка действий по документу логируется с отметками времени, и при разборе спора эти логи показывают, кто и когда совершил подписание.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Когда к нам приходит документ с подписью в красном статусе, мы первым делом смотрим, где сбой — на машине проверяющего или в самом файле. Если документ не трогали, а просто на компьютере не установлен корневой серт, то перезаливать в систему ничего не надо, лечится установкой сертификата. А вот если хэш не сходится — значит, кто-то залез в файл после подписания, и тут уже только переподписывать в актуальной редакции.»
Восстановление цепочки сертификатов и доустановка корневого сертификата
Показать пошаговую инструкцию
- Шаг 1. Откройте сертификат двойным кликом и перейдите на вкладку «Путь сертификации». Найдите звено, помеченное ошибкой.
- Шаг 2. Скачайте корневой сертификат удостоверяющего центра, выпустившего подпись, с официального сайта этого УЦ или с портала Минцифры.
- Шаг 3. Установите корневой сертификат в хранилище доверенных корневых центров. Для УНЭП это обязательный шаг, система сама его не ставит.
- Шаг 4. Проверьте промежуточные сертификаты цепочки — между вашим и корневым может быть ещё одно-два звена, их тоже нужно доустановить.
- Шаг 5. Перезапустите крипто-провайдер и перепроверьте документ. Цепочка должна выстроиться до корневого сертификата без разрывов.
Как проверить электронную подпись на документе через официальные сервисы
Чтобы понять, в подписи дело или в вашем рабочем месте, документ нужно прогнать через независимый сервис. Их несколько, и у каждого свои нюансы.
Госуслуги. На портале есть бесплатный сервис подтверждения подлинности по адресу gosuslugi.ru/pgu/eds. Он проверяет отсоединённую подпись в формате PKCS#7 — загружаете документ, файл подписи, вводите капчу, жмёте «Проверить». При успехе выводится сообщение, что подпись верна, плюс данные подписанта — организация, должность, ФИО. Изменена хоть одна буква или цифра — проверка не пройдёт. Нюанс: встроенную в PDF подпись этот сервис не проверяет, только отдельный сик-файл.
КриптоПро и КриптоАРМ. На сайте КриптоПро есть страница тестирования подписи, в КриптоАРМ можно проверить любой тип подписи и снять протокол. Эти инструменты показывают полную цепочку сертификатов и точную причину сбоя — видно, какое именно звено сломалось.
Сервис Добыто. Онлайн-проверка прямо в браузере, без установки программ. Загружаете документ и файл подписи — система сама распознаёт тип, строит цепочку и выдаёт статус. В практике Добыто мы используем такую проверку на входе при приёме документов от контрагентов: фоном прогоняем подпись, чтобы недействительный файл не ушёл в архив.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Разобраться, почему подпись слетела в красную зону — истёк сертификат, разорвана цепочка или кто-то менял документ — бывает не так просто, особенно когда на руках только PDF со штампиком и непонятно, валидна ли подпись под ним. Если документ нужен для спора с контрагентом или работником, а статус подписи вызывает сомнения, наши специалисты в Добыто помогут провести проверку, снять протокол и определить, что именно пошло не так.
Образцы документов и памятки по электронной подписи
Открыть список документов
| Документ | Скачать |
|---|---|
| Памятка по настройке КЭП для налоговой | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
| Образец приказа о приёме на работу | Скачать |
| Образец личной карточки работника | Скачать |
Юридические последствия недействительной подписи и позиция закона
Квалифицированная подпись по статье 11 закона 63-ФЗ признаётся действительной, пока решением суда не установлено иное, при одновременном соблюдении условий: квалифицированный сертификат выдан аккредитованным удостоверяющим центром, аккредитация которого действовала на день выдачи; сертификат действителен на момент подписания или есть достоверная информация о моменте подписания; есть положительный результат проверки принадлежности владельцу; подпись использована с учётом ограничений из сертификата. Выпадает любое условие — подпись теряет презумпцию действительности.
Документ с недействительной подписью юридической значимости не имеет. Про штампики важно понимать вот что. Синенький квадратик с данными сертификата, который вы видите на распечатке PDF — это визуализация, сам по себе он юридической силы не несёт. Юридически значим электронный оригинал с подписью, которую можно проверить. Бумажная распечатка со штампиком годится только чтобы ознакомить человека с содержанием, но не чтобы доказать подлинность. Поэтому в суд несут не распечатки, а выгрузку — сам документ и файлы подписи.
Признать электронные документы равнозначными бумажным позволяет статья 6 того же закона. Для неквалифицированной и простой подписи нужно дополнительное условие — соглашение между участниками о признании такой подписи либо нормативный акт, устанавливающий правила её применения. Для квалифицированной соглашение не требуется, она равнозначна собственноручной по умолчанию.
Мария Ж, юрист со стажем более 20 лет:
«В суд бегать с распечаткой, где снизу нарисован штампик с подписью — дело гиблое. Я это объясняю каждому клиенту: плашечка на бумаге ничего не доказывает, это картинка для человека. Доказывает выгрузка — исходный документ плюс сик-файл, которые суд или экспертиза реально проверят. Поэтому архив надо хранить целиком, с подписями, а не пачкой распечаток.»
Мини-кейс: спор об увольнении и недействительная подпись
Ситуация. Сотрудник обратился в суд и заявил, что соглашение об увольнении не подписывал, а его неквалифицированную подпись, выпущенную на токене и хранившуюся в сейфе работодателя, использовали без него. Сейф, по словам сотрудника, иногда оставался открытым.
Что проверял суд. Документы, вводящие КЭДО в компании, действие подписи на момент подписания и — ключевой момент — что подписанный документ передан в удостоверяющий центр в неизменном виде, не заменён на другой. Суд проверял авторство: именно этот работник и именно этот документ.
Результат. Суд встал на сторону работника, признал увольнение незаконным и взыскал с работодателя компенсацию. Урок: хранение токена с ключом и доказуемость момента подписания — это то, на чём держится позиция работодателя в споре.
Как защититься от недействительности подписи заранее
Лечить дешевле, чем потом разгребать. Несколько вещей, которые снимают большую часть проблем.
Штамп времени и ОЦСП-ответ. Это усовершенствованные форматы подписи. Служба штампа времени — доверенная служба, есть у налоговой и у каждого удостоверяющего центра — в момент подписания формирует документ с точной меткой времени и хэшем подписанного файла. ОЦСП-ответ фиксирует, что сертификат на момент подписания не был отозван. Вместе они дают доказательства, которые после окончания срока сертификата подтвердят: подпись стояла тогда-то, сертификат действовал. Без них истёкший серт превращает валидную подпись в недействительную.
Ухаживание за подписью для архива. Кадровые документы хранятся годами, иногда до 50 лет, а сертификат живёт год или несколько. Для долгого хранения подпись периодически переподписывают поверх — добавляют архивную метку, которая заверяет предыдущие штамп времени и ОЦСП-ответ. Это позволяет проверить подпись даже спустя десятилетия. В сервисе Добыто электронный архив хранит документы с подписями и метками времени, доступ сохраняется даже при расторжении договора с провайдером.
Отзыв подписи при увольнении. Когда сотрудник уходит, его подпись надо отзывать через удостоверяющий центр, в котором её выпустили — заявлением в УЦ или ФНС. Удаление сертификата из реестра компьютера не означает, что подпись отозвана: она остаётся действующей, пока её формально не отозвали. И отдельно — читать то, что подписываете: в практике встречается, когда человек думал, что подписывает одно, а подписал другое.
Мария Ж, HR-эксперт с 13-летним стажем:
«У людей отношение к своей подписи лёгкое, прямо халатное. Уволился человек, забыл, что на него в реестре ЭЦП записана, а работодатель этой подписью дальше пользуется. Я всегда говорю: при увольнении сразу снести подпись через УЦ, а не просто удалить из реестра. Из реестра убрал — это не значит, что её больше нет.»
Подписать документ электронной подписью онлайн
Стоимость проверки и обслуживания КЭДО с электронной подписью
Отдельной платы за проверку подписи в сервисе нет — онлайн-проверка бесплатна. Стоимость складывается из тарифа на сам КЭДО, который зависит от численности персонала, набора модулей и видов подписи. Чем больше сотрудников и выше требования к архиву и интеграциям, тем выше тариф.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — ПЭП и УНЭП, базовые шаблоны, email-поддержка | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес — ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив, приоритетная поддержка | от 50 ₽ за сотрудника / мес | неограниченно сотрудников* |
| Корпорация — всё из Бизнеса, выделенный сервер, SLA 99.9%, персональный менеджер, API | По запросу | крупный бизнес |
По тарифу Бизнес минимальная оплата — 50 сотрудников за 30 000 ₽ в год. Итоговая сумма зависит от численности персонала, нужных видов подписи и того, нужен ли электронный архив с метками времени для долгого хранения — актуальные тарифы сервиса Добыто помогут рассчитать точнее под вашу компанию.
Выводы: что делать с недействительной электронной подписью
Недействительность подписи — это вывод программы, а не конец документа. Первым делом разделите две ситуации: сбой на вашем рабочем месте или реальная проблема файла. Если на стороннем сервисе — Госуслугах, КриптоПро или Добыто — подпись валидна, переподписывать ничего не нужно, лечится доустановкой корневого сертификата и крипто-провайдера. Если недействительность подтверждается везде, причина в самом документе или сертификате: изменили файл, истёк или отозван сертификат, разорвана цепочка.
Когда подпись недействительна по существу, переподписать задним числом нельзя. Действующим сертификатом документ подписывают заново в актуальной редакции, желательно со штампом времени. Для спора фиксируйте всё — исходный файл, файл подписи, протокол проверки и логи системы с отметками времени. Распечатка со штампиком юридической силы не несёт, доказывает только электронный оригинал с проверяемой подписью. Квалифицированная подпись по статье 11 закона 63-ФЗ действительна, пока суд не установил иное и пока соблюдены все условия одновременно.
Большая часть проблем снимается заранее. Штамп времени и ОЦСП-ответ доказывают момент подписания после истечения срока сертификата. Архивные метки сохраняют проверяемость подписи на годы хранения. Отзыв подписи при увольнении через удостоверяющий центр закрывает риск использования чужого ключа. Доля документов с электронной подписью будет только расти, и привычка закладывать доказательства подлинности на этапе подписания постепенно станет стандартом.
Часто задаваемые вопросы
Можно ли переподписать документ задним числом, если подпись истекла?
Подпись недействительна только у меня на компьютере — что это значит?
Почему подпись не проходит после изменения документа?
Имеет ли юридическую силу распечатка PDF со штампом подписи?
Что такое штамп времени и зачем он нужен?
Как восстановить разорванную цепочку сертификатов?
Чем отличается проверка присоединённой и отсоединённой подписи?
Можно ли использовать ПЭП для документов, требующих подтверждения целостности?
Что делать с подписью уволившегося сотрудника?
Как доказать момент подписания, если штампа времени нет?
Когда квалифицированная подпись считается действительной по закону?
Недействительная подпись почти всегда сводится к одному из трёх: сбой настройки рабочего места, истёкший или отозванный сертификат, изменённый файл. Чтобы такие ситуации не превращались в спор без доказательств, подпись и метку времени стоит фиксировать на этапе подписания, а документы хранить целиком, с файлами подписей. Сервис Добыто закрывает весь цикл — от подписания до проверки и архивного хранения, а вся цепочка действий по документу логируется с отметками времени.
За время работы мы подключили компании разного масштаба — от небольших команд до организаций с тысячами сотрудников, и в каждом проекте проверка подлинности подписи и хранение доказательств момента подписания были частью настройки. Это то, что потом снимает вопросы при проверке ГИТ и в суде.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Онлайн-проверка подписи без установки программ — распознаёт тип файла и строит цепочку сертификатов
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Электронный архив с хранением документов и подписей до 50 лет, доступ сохраняется при расторжении договора
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Готовый коннектор с 1С — отправка документа на подписание одной кнопкой из привычного интерфейса