Список отозванных сертификатов (CRL) — основной инструмент, по которому программы определяют, можно ли доверять электронной подписи. Если серийный номер вашего сертификата попал в этот список — подпись юридически ничтожна, документы недействительны, а вы даже не узнаете об этом, пока не проверите CRL вручную. В этом материале разбираем, где взять актуальный CRL, как найти в нём конкретный сертификат, что делать, если список не обновляется, и чем проверка по CRL отличается от OCSP. Статья продолжает тему проверки отзыва сертификата ЭП, где описаны общие механизмы и причины отзыва.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое CRL и зачем его проверять вручную
CRL (Certificate Revocation List) — файл формата X.509, который удостоверяющий центр регулярно формирует, подписывает собственной электронной подписью и публикует в открытом доступе. Внутри — перечень серийных номеров отозванных сертификатов с указанием даты и причины отзыва каждого. В российской нормативной документации CRL называется СОС — Список Отозванных Сертификатов.
В идеальном мире проверка по CRL происходит автоматически. КриптоПро CSP при каждой операции подписания или верификации обращается к точке распространения CRL, скачивает актуальный файл и сверяет серийный номер проверяемого сертификата со списком. Зелёная галочка — сертификат действует. Красный крестик — отозван. Но реальность сложнее.
На практике автоматическая проверка ломается в нескольких типичных ситуациях. Компьютер работает без интернета или за строгим файрволом, который блокирует URL точки распространения CRL. Срок действия кэшированного списка истёк, а новый скачать не удалось. Удостоверяющий центр сменил адрес публикации, а в сертификатах прописан старый URL. Или, что случается чаще всего в практике кадровиков — компьютер кадровой службы месяцами не обновлял CRL, и система радостно показывает зелёные галочки на документах, подписанных давно отозванными сертификатами.
Ручная проверка CRL нужна в конкретных ситуациях: при приёмке документов от контрагентов, при подготовке к проверке ГИТ, при смене сотрудника и необходимости подтвердить, что старый сертификат отозван, при расследовании инцидентов с подделкой подписи. По сути, любая ситуация, когда нужна стопроцентная уверенность в статусе сертификата, а не слепое доверие к автоматике.
Мария Ж, судебный эксперт по трудовому праву:
«В моей практике было дело, где работодатель три месяца подписывал приказы сертификатом, который сотрудник отозвал в день увольнения. КриптоПро на компьютере отдела кадров не обновлял CRL, потому что ИТ-отдел заблокировал внешние соединения. Итог — 47 приказов признаны судом недействительными. Если бы кадровик хотя бы раз вручную проверил CRL, проблему бы обнаружили в первый же день.»
Где хранится информация о точке распространения CRL в сертификате
Каждый квалифицированный сертификат содержит расширение CRL Distribution Points (CDP) — это URL-адрес, откуда можно скачать актуальный список отозванных сертификатов данного удостоверяющего центра. Адрес прописывается на этапе выпуска сертификата и не меняется в течение его срока действия.
Найти CDP можно через свойства сертификата. В Windows откройте файл сертификата (двойной клик по .cer-файлу), перейдите на вкладку «Состав» и найдите поле «Точки распространения списков отзыва (CRL)». Там будет один или несколько URL — обычно в формате http:// (не https, потому что CRL подписан ЭП удостоверяющего центра и целостность обеспечивается подписью, а не TLS-каналом).
Для сертификатов от УЦ ФНС точка распространения обычно расположена на серверах налоговой — формат типа http://crl.tax.nalog.ru/. Для коммерческих УЦ (СКБ Контур, Калуга Астрал, Такском) — на их собственных серверах. Если URL недоступен, можно попытаться найти CRL на сайте самого УЦ в разделе «Корневые сертификаты» или «Списки отзыва».
Некоторые УЦ указывают в сертификате два CDP: основной и резервный. Если основной сервер недоступен, программа обращается к резервному. При ручной проверке пробуйте оба URL — если один не работает, второй может быть актуален.
Как извлечь URL точки распространения CRL из сертификата
Показать пошаговую инструкцию
- Шаг 1. Откройте файл сертификата (.cer, .crt) двойным кликом. Или в КриптоПро CSP: Пуск → КРИПТО-ПРО → Управление сертификатами (certmgr.msc), раздел «Личное» → «Сертификаты», двойной клик по нужному.
- Шаг 2. Перейдите на вкладку «Состав» (Details).
- Шаг 3. Прокрутите список полей вниз до «Точки распространения списков отзыва (CRL)» или «CRL Distribution Points».
- Шаг 4. Кликните по полю — в нижней части окна отобразится один или несколько URL. Скопируйте адрес.
- Шаг 5. Вставьте URL в адресную строку браузера и нажмите Enter. Файл CRL (.crl) скачается автоматически.
Как скачать и открыть файл CRL
Файл CRL — бинарный документ формата DER (Distinguished Encoding Rules). Расширение — .crl. Весить может от нескольких килобайт до нескольких мегабайт, в зависимости от количества отозванных сертификатов в реестре конкретного УЦ. У крупных удостоверяющих центров вроде УЦ ФНС размер CRL может достигать 5-10 МБ.
Скачать CRL можно тремя способами. Первый — вставить URL из CDP сертификата в браузер. Второй — через командную строку Windows: команда certutil -url «адрес_crl» скачает и откроет файл. Третий — зайти на сайт удостоверяющего центра и найти раздел с корневыми сертификатами и списками отзыва.
Открыть скачанный файл .crl в Windows можно двойным кликом — система автоматически покажет его содержимое в стандартном просмотрщике. Вы увидите: издателя (имя УЦ), дату последнего обновления, дату следующего обновления и список серийных номеров отозванных сертификатов с датами отзыва.
Альтернативный способ просмотра — через командную строку: certutil -dump файл.crl. Команда выведет полное содержимое CRL в текстовом формате, включая все серийные номера. Это удобно, если нужно найти конкретный номер через поиск (Ctrl+F).
Мария Ж, специалист по цифровой подписи и КЭДО:
«Кадровикам не нужно разбираться в тонкостях формата DER. Достаточно знать одно: скачал файл .crl, открыл двойным кликом, нашёл в списке серийный номер проверяемого сертификата. Если номер есть — сертификат отозван, все документы после даты отзыва недействительны. Пять минут работы, которые могут спасти от часов разбирательств.»
Чек-лист: проверка CRL для кадровика
Для специалистов кадровой службы — минимальный алгоритм, который закрывает 90% рисков при работе с электронной подписью в КЭДО:
Открыть чек-лист
| Действие | Периодичность |
|---|---|
| Проверить дату актуальности CRL в certmgr.msc | 1 раз в месяц |
| Убедиться, что URL из CDP доступен с рабочей станции | При смене ИТ-настроек |
| При увольнении сотрудника — проверить отзыв его сертификата | В течение 3 дней |
| При приёмке документов от контрагента — проверить подпись через Госуслуги | Каждый раз |
| Перед проверкой ГИТ — пакетная верификация всех кадровых документов | За неделю до |
Как найти серийный номер сертификата для сверки с CRL
Серийный номер — уникальный идентификатор сертификата, присвоенный удостоверяющим центром при выпуске. Именно по нему происходит поиск в CRL. Номер представляет собой длинную шестнадцатеричную строку (например, 01 A3 5B 7F 00 2C 4D 8E 11 22).
Чтобы узнать серийный номер своего сертификата, откройте его свойства: двойной клик по файлу .cer или через certmgr.msc. На вкладке «Состав» первое поле — «Серийный номер». Скопируйте его. Теперь откройте файл CRL и ищите этот номер в списке. Если нашли — сертификат отозван, рядом указана дата отзыва.
В КриптоПро CSP серийный номер также отображается на вкладке «Общие» в окне свойств сертификата. А при использовании команды certutil -dump certificate.cer номер будет в строке «Serial Number».
Важный нюанс: серийный номер в CRL и в сертификате должны совпадать побайтово. Если вы сравниваете вручную — убедитесь, что формат одинаковый (с пробелами или без, с ведущими нулями или без). Лучше использовать поиск по части номера — последние 8-10 символов обычно уникальны.
Пошаговая проверка сертификата по CRL вручную
Показать полный алгоритм
- Шаг 1. Откройте проверяемый сертификат, перейдите на вкладку «Состав», запишите серийный номер.
- Шаг 2. Там же найдите поле «Точки распространения списков отзыва (CRL)», скопируйте URL.
- Шаг 3. Откройте URL в браузере — скачается файл .crl.
- Шаг 4. Откройте .crl двойным кликом. Перейдите на вкладку «Список отзыва» — отобразятся все отозванные сертификаты.
- Шаг 5. Ищите серийный номер из шага 1 в списке. Если найден — сертификат отозван, справа указана дата.
- Шаг 6. Если номера нет — сертификат не отозван (по состоянию на дату публикации данного CRL, указанную в поле «Следующее обновление»).
Альтернатива через командную строку:
- Запустите cmd от имени администратора.
- Выполните: certutil -verify -urlfetch certificate.cer
- Система скачает CRL и проверит статус автоматически. В результате отобразится «ОТОЗВАН» или «Действителен».
Проверка CRL через КриптоПро CSP 5.0
КриптоПро CSP версий 5.0 R2 и 5.0 R3 (актуальные сертифицированные версии на 2026 год) выполняют проверку CRL при каждой операции с подписью. Сертификат соответствия ФСБ действует до 1 мая 2027 года. Проверка отзыва работает даже без лицензии — для верификации подписи платная лицензия КриптоПро не требуется.
При штатной работе CSP сам скачивает CRL по URL из CDP сертификата и кэширует его до даты «Следующее обновление» (Next Update). После этой даты при следующей проверке подписи CSP попытается скачать свежий CRL. Если не сможет — покажет предупреждение о невозможности проверки статуса отзыва.
Чтобы принудительно обновить CRL в КриптоПро:
Инструкция по принудительному обновлению CRL
- Шаг 1. Откройте certmgr.msc (Win+R → certmgr.msc → Enter).
- Шаг 2. В левой панели раскройте «Промежуточные центры сертификации» → «Списки отзыва сертификатов».
- Шаг 3. Удалите устаревшие CRL-файлы (правый клик → Удалить).
- Шаг 4. Откройте проверяемый сертификат, перейдите на вкладку «Путь сертификации». Система попытается скачать свежий CRL по URL из CDP.
- Шаг 5. Если автоматическая загрузка не сработала — скачайте CRL вручную по URL из CDP и установите двойным кликом (выбрав хранилище «Промежуточные центры сертификации»).
КриптоАРМ ГОСТ 3 (входит в исполнения КриптоПро CSP 5.0 R3) также проверяет CRL и формирует протокол проверки в формате PDF. Это удобно для документирования результатов — протокол можно приложить к кадровому делу или отчёту для проверки ГИТ.
Образцы документов для работы с сертификатами ЭП
Открыть список документов
Проверка CRL через портал Госуслуг
Портал Госуслуг предоставляет бесплатный онлайн-сервис проверки электронной подписи, который автоматически проверяет статус сертификата по CRL и OCSP. Адрес: gosuslugi.ru/eds. Для использования не нужна авторизация — проверка доступна всем.
Загружаете подписанный документ (или отдельно файл подписи .sig + исходный документ для откреплённой подписи), нажимаете «Проверить» — система покажет результат. В отчёте указывается: владелец сертификата, УЦ-издатель, срок действия и статус — действителен или отозван. Если сертификат найден в CRL — система прямо об этом сообщит.
Ограничение: Госуслуги проверяют только квалифицированные сертификаты от аккредитованных УЦ. Неквалифицированные (УНЭП от работодателя, например) проверить не получится — система их не признаёт. Для КЭДО это актуально: если в вашей компании сотрудники подписывают кадровые документы УНЭП, выданной через информационную систему работодателя, Госуслуги такой сертификат не проверят.
Альтернативный онлайн-сервис — тестовая страница КриптоПро. Там можно проверить подпись CAdES и XAdES с полной верификацией цепочки доверия и CRL.
CRL vs OCSP: в чём разница и когда что использовать
CRL и OCSP — два механизма проверки статуса отзыва, и они не взаимоисключающие. КриптоПро CSP может использовать оба одновременно, но нужно понимать разницу.
CRL (Список Отозванных Сертификатов) — это файл-снимок состояния на определённый момент. Обновляется периодически (раз в сутки у большинства УЦ, раз в неделю у некоторых). Преимущества: работает офлайн после скачивания, не зависит от доступности сервера в момент проверки, подходит для пакетной проверки множества документов. Недостаток: временной зазор между отзывом и появлением в CRL (до 24 часов).
OCSP (Online Certificate Status Protocol) — запрос-ответ в реальном времени. Программа отправляет серийный номер на OCSP-сервер УЦ и получает ответ: good, revoked или unknown. Преимущества: актуальность (задержка — минуты), компактность ответа, возможность включения в усовершенствованную подпись (CAdES-X Long Type 1). Недостаток: требует сетевого подключения в момент каждой проверки, нагружает сервер УЦ.
Для кадрового документооборота рекомендация простая. При подписании документов — OCSP (проверка в реальном времени перед подписанием). При проверке уже подписанных документов задним числом — CRL (скачали актуальный список и проверили пакетом). При формировании усовершенствованной подписи для долгосрочного хранения — OCSP-ответ включается в саму подпись как доказательство действительности на момент подписания.
В системе КЭДО Добыто используется комбинированный подход: перед подписанием проверяется OCSP (если OCSP-сервер недоступен — блокировка), а при верификации принимаемых документов — CRL + OCSP с фоллбэком. Это обеспечивает максимальную надёжность при минимальных задержках.
Типичные ошибки при проверке CRL и как их исправить
Ошибка «Не удалось проверить список отзыва сертификатов» (Certificate revocation check failed) — самая распространённая. Возникает, когда система не может скачать CRL по URL из CDP. Причины: нет интернета, файрвол блокирует HTTP-запросы, DNS не резолвит домен УЦ, сервер УЦ временно недоступен.
Решение: проверьте доступность URL из CDP в браузере. Если открывается — проблема в настройках proxy или firewall для КриптоПро. Если не открывается — сервер УЦ недоступен, подождите или обратитесь в поддержку УЦ. Временное решение — скачать CRL через другой компьютер и установить вручную.
Ошибка «Срок действия CRL истёк» — CRL имеет поля «Дата обновления» и «Следующее обновление». Если текущая дата позже «Следующего обновления», а новый CRL не скачан — система считает список просроченным. Решение: принудительно скачайте свежий CRL по URL из CDP.
Ошибка «Цепочка сертификатов не является доверенной» — не установлен корневой сертификат УЦ. CRL подписан ключом удостоверяющего центра, и для проверки подписи CRL нужна вся цепочка доверия. Решение: установите корневой сертификат головного УЦ Минцифры и промежуточный сертификат конкретного УЦ в хранилище «Доверенные корневые центры сертификации» и «Промежуточные центры сертификации» соответственно.
Ещё одна частая ситуация — CRL от старого УЦ. Удостоверяющий центр лишился аккредитации или был реорганизован, а сертификаты из «его» эпохи ещё встречаются в документах. В таком случае CRL может быть недоступен, а OCSP-сервер отключён. Проверить статус можно через реестр аккредитованных УЦ на e-trust.gosuslugi.ru — там указано, кому переданы функции прекратившего работу УЦ.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Самая коварная ситуация — когда кадровик годами не обновляет CRL и даже не знает об этом. КриптоПро показывает зелёные галочки, потому что в его кэше лежит CRL от декабря прошлого года, а сегодня май. За это время могли отозвать десяток сертификатов, а система об этом не подозревает. Я рекомендую раз в месяц вручную проверять дату актуальности CRL на рабочих станциях кадровой службы — через certmgr.msc, раздел «Промежуточные центры сертификации» → «Списки отзыва сертификатов».»
Автоматизация проверки CRL в корпоративной среде
В организациях с десятками и сотнями рабочих мест ручная проверка CRL — утопия. Нужна автоматизация. Есть несколько подходов.
Групповые политики Active Directory. Через GPO можно настроить автоматическое распространение CRL на все компьютеры домена. Создаёте политику, указываете URL точки распространения — и все машины в домене будут автоматически скачивать свежий CRL. Для организаций от 50 рабочих мест — must have.
Локальная точка распространения CRL. Крупные компании разворачивают внутренний сервер, который скачивает CRL от всех нужных УЦ по расписанию и раздаёт их внутри сети. Это решает проблему файрвола — рабочие станции обращаются к внутреннему серверу, а не к внешним URL. КриптоПро CSP позволяет переопределить URL точки распространения через настройки политик.
КЭДО-система с встроенной проверкой. В сервисе Добыто проверка CRL и OCSP интегрирована на уровне платформы. Кадровику не нужно думать о CRL — система сама проверяет каждый сертификат при подписании и при приёмке документов. Если сертификат отозван — операция блокируется автоматически с понятным сообщением об ошибке. Для HR-подразделений это самый безболезненный вариант — нулевая нагрузка на кадровика при полном контроле.
Тарифы Добыто КЭДО начинаются от 30 ₽ за сотрудника в месяц (тариф «Старт» для компаний до 25 человек). Для среднего бизнеса — тариф «Бизнес» от 50 ₽ за сотрудника в месяц с интеграцией 1С, УКЭП и электронным архивом. Подробнее — на странице тарифов.
Что делать, если сертификат оказался в CRL
Если при проверке вы обнаружили свой сертификат в списке отозванных — не паникуйте, но действуйте быстро. Алгоритм зависит от ситуации.
Вы сами отозвали сертификат (при увольнении, смене должности, утере токена) — это штатная ситуация. Убедитесь, что все документы, которые нужно было подписать, подписаны до даты отзыва. Документы, подписанные после даты из CRL, юридической силы не имеют. Обратитесь в УЦ за перевыпуском, если нужен новый сертификат.
Сертификат отозван без вашего ведома — экстренная ситуация. Немедленно обратитесь в удостоверяющий центр и выясните основание отзыва. По статье 14 закона 63-ФЗ, УЦ обязан уведомить владельца об отзыве. Если уведомления не было — фиксируйте этот факт, он может быть основанием для оспаривания.
Сертификат контрагента или сотрудника в CRL — проверьте все документы, подписанные этим сертификатом после даты отзыва. Все они юридически ничтожны. Если среди них есть кадровые приказы — запускайте процедуру переподписания действующим сертификатом уполномоченного лица.
Практический кейс из Добыто: компания-клиент обнаружила, что бывший главбух отозвал свой УКЭП через неделю после увольнения, но кадровик ещё месяц подписывал документы, используя ЭП нового главбуха, сертификат которого был привязан к тому же УЦ. При плановой проверке ГИТ выяснилось, что 12 приказов о приёме были подписаны в период, когда CRL уже содержал сертификат старого сотрудника — и эти документы фигурировали как подписанные им, хотя фактически подписывал другой человек. Путаница возникла из-за того, что кадровик не отличал один сертификат от другого по серийному номеру.
Краткие выводы
Проверка сертификата ЭП по списку CRL — базовая гигиена при работе с электронной подписью. CRL скачивается по URL из самого сертификата (поле CDP), открывается двойным кликом в Windows и содержит серийные номера всех отозванных сертификатов конкретного УЦ. КриптоПро CSP делает это автоматически, но автоматика ломается при проблемах с сетью, файрволом или кэшем. Ежемесячная ручная проверка актуальности CRL на рабочих станциях кадровой службы — минимальная мера, которая предотвращает серьёзные юридические проблемы. Для полной автоматизации используйте КЭДО-систему с встроенной верификацией — как Добыто, где CRL-проверка прозрачна для пользователя и не требует технических знаний от HR-специалиста.
FAQ: частые вопросы о проверке CRL
Как часто обновляется CRL у российских удостоверяющих центров?
Большинство аккредитованных УЦ обновляют CRL ежедневно. УЦ ФНС — раз в сутки. Некоторые коммерческие УЦ — раз в 12 часов. Точная периодичность указана в регламенте каждого конкретного УЦ и в самом CRL-файле (поле «Следующее обновление»). Если проверка критична — используйте OCSP для получения актуальной информации в реальном времени.
Можно ли проверить CRL без КриптоПро CSP?
Да. Скачайте файл .crl по URL из CDP сертификата и откройте его в Windows двойным кликом — стандартный просмотрщик покажет список отозванных сертификатов без дополнительного ПО. Также можно использовать утилиту certutil (встроена в Windows) или онлайн-сервис Госуслуг. Однако для полноценной верификации ГОСТ-подписи на CRL-файле нужен КриптоПро CSP.
Что будет, если подписать документ сертификатом, который уже в CRL?
Технически подписать можно — закрытый ключ всё ещё работает. Но юридически такая подпись ничтожна с даты отзыва. Любая проверяющая сторона, обратившись к CRL, увидит, что сертификат отозван. В суде документ с такой подписью будет признан недействительным. КриптоПро CSP при подписании проверяет CRL и предупреждает, если сертификат отозван — но не блокирует операцию принудительно (это зависит от настроек).
Где найти CRL для сертификата от УЦ ФНС?
URL указан в самом сертификате в поле CRL Distribution Points. Для сертификатов от головного УЦ ФНС это обычно адрес вида http://crl.nalog.ru/… Также CRL можно скачать с портала e-trust.gosuslugi.ru в разделе соответствующего УЦ. Если прямой URL недоступен — обратитесь в налоговую инспекцию, где получали сертификат.
Чем Delta CRL отличается от полного CRL?
Полный CRL (Base CRL) содержит все отозванные сертификаты за всё время работы УЦ. Delta CRL — инкрементальный файл, содержащий только изменения с момента последней публикации полного CRL. Delta CRL меньше по размеру и скачивается быстрее. Не все УЦ публикуют Delta CRL — проверьте наличие поля «Freshest CRL» в полном CRL-файле. КриптоПро CSP поддерживает оба типа.
Как настроить автоматическое обновление CRL на компьютере?
КриптоПро CSP обновляет CRL автоматически при каждой проверке подписи, если есть доступ к URL из CDP. Для принудительного обновления по расписанию используйте certutil -urlcache * delete (очистка кэша) и затем certutil -verify (запуск проверки). В корпоративной среде настройте GPO или планировщик задач Windows для регулярного скачивания CRL.
Действительна ли подпись, если CRL временно недоступен?
Зависит от настроек и контекста. КриптоПро CSP по умолчанию показывает предупреждение, но не блокирует проверку, если CRL недоступен — подпись считается «не проверенной по CRL». Юридически отсутствие проверки CRL не делает подпись недействительной автоматически. Но риск остаётся: если позже выяснится, что сертификат был отозван на момент подписания — документ будет оспорен. Для критичных операций используйте OCSP как резервный канал.