Срок действия электронной подписи ограничен — обычно он составляет 12 или 15 месяцев. Пропустить момент окончания действия сертификата легко: в рутине кадрового делопроизводства уведомление от удостоверяющего центра теряется среди десятков писем, а токен лежит в сейфе неделями. Результат — в самый неподходящий момент (подача отчёта в ФНС, подписание договора поставки, отправка кадровых документов дистанционному сотруднику) система выдаёт ошибку «Сертификат не действителен». Разберёмся, как быстро проверить срок действия ЭЦП на любом носителе — USB-токене, флешке, в реестре Windows — и что делать, если до окончания осталось несколько дней. Подробнее о проверке электронной подписи читайте в нашем основном руководстве.
Автор: Мария Ж., юрист со стажем более 20 лет. Специализация — кадровое делопроизводство, электронный документооборот, правовое сопровождение внедрения КЭДО.
Какой срок действия установлен для электронной подписи по закону
Федеральный закон № 63-ФЗ «Об электронной подписи» (ст. 14) обязывает удостоверяющий центр указывать в сертификате даты начала и окончания его действия. При этом закон не устанавливает единый максимальный срок — он определяется правилами конкретного УЦ и классом средств криптографической защиты информации (СКЗИ).
На практике ситуация выглядит так:
| Тип сертификата | Кем выдаётся | Типичный срок | Особенности продления |
|---|---|---|---|
| КЭП от УЦ ФНС | Удостоверяющий центр ФНС России | 15 месяцев | Перевыпуск дистанционно при наличии действующего сертификата и токена |
| КЭП от аккредитованного УЦ | СКБ Контур, Калуга Астрал, Тензор и др. | 12 месяцев | Зависит от УЦ: онлайн, через личный кабинет или при визите |
| УНЭП Госключ | Приложение «Госключ» (Минцифры) | 12 месяцев | Перевыпуск в приложении за несколько минут |
| УКЭП Госключ | Приложение «Госключ» (биометрический паспорт + NFC) | 12 месяцев | Аналогично — перевыпуск в приложении |
| Облачная КЭП (DSS) | КриптоПро DSS, Контур и др. | 12 месяцев | Через личный кабинет оператора |
Обратите внимание: срок действия сертификата и срок действия лицензии на СКЗИ (КриптоПро CSP) — разные вещи. Лицензия КриптоПро, встроенная в сертификат от УЦ ФНС, действует ровно столько же, сколько сам сертификат. Бессрочная лицензия КриптоПро CSP 5.0 работает с любым сертификатом независимо от его срока. Если лицензия просрочена, а сертификат ещё действует — подписать документ всё равно не получится.
Мнение эксперта. По данным Сергея Агафьина из компании КриптоПро, начиная с версии CSP 5.0 R2 лицензия привязана к семейству 5.0 — то есть если у вас лицензия на 5.0, она будет действовать и в R2, и в R3. Покупать новую лицензию при обновлении внутри семейства не придётся. Однако лицензии от версии 4.0 к пятёрке уже не подходят.
Полезные документы для скачивания
- Образец штатного расписания — шаблон формы Т-3 для организации кадрового учёта
- Образец графика отпусков — шаблон для планирования отпусков в электронном формате
- Образец табеля рабочего времени — форма учёта для перевода в КЭДО
Способ 1. Проверка срока через КриптоПро CSP (на любом носителе)
Это универсальный метод: работает и с USB-токеном (Рутокен, JaCarta, eSmart), и с флешкой, и с сертификатом, установленным в реестр Windows. Подходит для КриптоПро CSP версий 4.0 и 5.0 (R1, R2, R3).
Пошаговая инструкция
- Подключите носитель с ЭЦП к компьютеру (если сертификат хранится на токене или флешке).
- Откройте КриптоПро CSP: Пуск → Все программы → КРИПТО-ПРО → КриптоПро CSP (или введите «КриптоПро» в поиске Windows).
- Перейдите на вкладку «Сервис».
- Нажмите кнопку «Просмотреть сертификаты в контейнере…».
- В появившемся окне нажмите «Обзор» — система покажет список контейнеров на подключённых носителях.
- Выберите нужный контейнер и нажмите «ОК», затем «Далее».
- В окне «Сертификат для просмотра» вы увидите основную информацию, включая строку «Действителен с… по…».
Даты «Действителен с» и «по» — это и есть срок действия вашей электронной подписи. Сравните дату «по» с текущей: если до неё меньше 30 дней — пора заниматься продлением.
Для получения полной информации нажмите «Свойства» → вкладка «Общие». Здесь сроки отображаются в формате «дд.мм.гггг чч:мм:сс» с точностью до секунды.
Если контейнер не отображается
Частые причины: не установлен драйвер носителя (для Рутокен — скачать с rutoken.ru, для JaCarta — с aladdin-rd.ru), токен не определяется системой, либо контейнер создан в формате PKCS#11 и КриптоПро CSP не настроен на работу с библиотекой rtPKCS11ECP. В последнем случае попробуйте панель управления Рутокен (способ 4).
Способ 2. Через оснастку certmgr.msc (без КриптоПро)
Если КриптоПро CSP не установлена или закрыта — можно воспользоваться встроенным средством Windows. Метод работает только для сертификатов, которые ранее были установлены в хранилище «Личное» (Personal).
- Нажмите Win + R, введите
certmgr.msc, нажмите Enter. - В левой панели раскройте «Личное» → «Сертификаты».
- В правой части окна найдите нужный сертификат (по имени владельца или удостоверяющему центру).
- Обратите внимание на столбец «Дата окончания» — это и есть конец действия серта.
- Для деталей — двойной клик по сертификату → вкладка «Общие» → строка «Действителен с… по…».
Преимущество: не нужно подключать токен повторно, если серт когда-то устанавливался. Минус: если сертификат ни разу не устанавливался в хранилище Windows — его в certmgr не будет.
Способ 3. Проверка на портале Госуслуг (онлайн, без программ)
Портал Госуслуг предлагает бесплатный сервис проверки сертификата электронной подписи. Для этого не нужно устанавливать программы — достаточно браузера и файла сертификата.
- Перейдите на страницу gosuslugi.ru/eds (раздел «Проверка электронной подписи»).
- Выберите вкладку «Проверка сертификата».
- Загрузите файл сертификата (формат .cer или .crt). Экспортировать его можно из КриптоПро или из certmgr: правой кнопкой по сертификату → «Все задачи» → «Экспорт» → формат DER (.cer).
- Нажмите «Проверить».
- Система покажет результат: владельца, удостоверяющий центр, серийный номер и срок действия.
Этот способ удобен, когда нужно проверить серт дистанционно — например, сотрудник прислал файл сертификата по электронной почте, и вы хотите убедиться, что он ещё действует, прежде чем направить кадровые документы на подписание.
Из практики. Проверка на Госуслугах показывает не только даты, но и статус отзыва. Если сертификат был отозван до окончания срока — система предупредит. Это важно: бывает, что формально срок ещё не истёк, но серт уже недействителен из-за внесения в список отозванных (CRL).
Способ 4. Через Панель управления Рутокен (для USB-токенов)
Если вы используете устройство линейки Рутокен (Lite, ЭЦП 2.0, ЭЦП 3.0), можно посмотреть информацию о сертификатах непосредственно через утилиту Панель управления Рутокен.
- Установите драйверы Рутокен (если ещё не установлены): скачайте с
rutoken.ru/support/download. - Подключите токен к USB-порту.
- Откройте Панель управления Рутокен (через Пуск или из «Панели управления» Windows).
- Перейдите на вкладку «Сертификаты».
- Выберите нужный сертификат — в нижней части окна отобразятся его реквизиты, включая даты действия.
Преимущество метода: Панель управления Рутокен видит и стандартные контейнеры КриптоПро (формат CSP), и контейнеры PKCS#11 (формат, который иногда не определяется через КриптоПро CSP без дополнительных настроек). Для токенов новой линейки Рутокен ЭЦП 3.0 также доступна мобильная версия утилиты.
Способ 5. Проверка сертификата Госключ в мобильном приложении
Если ваши сотрудники подписывают кадровые документы через Госключ (что всё чаще используется в КЭДО), проверить срок действия подписи можно прямо в приложении:
- Откройте приложение «Госключ» на смартфоне.
- Перейдите в раздел «Мои сертификаты» (или «Подписи»).
- Выберите действующий сертификат — на экране отобразятся даты начала и окончания действия.
Госключ проактивно напоминает об истечении сертификата: пуш-уведомление приходит за 30 дней, повторное — за 14 и за 7 дней до окончания. Если сотрудник проигнорировал все три предупреждения и серт истёк — перевыпуск УНЭП занимает буквально пару минут прямо в приложении. С УКЭП чуть сложнее: потребуется повторное сканирование биометрического загранпаспорта через NFC.
Способ 6. Проверка через командную строку (certutil)
Этот метод подойдёт системным администраторам и продвинутым пользователям. Утилита certutil входит в состав Windows и позволяет быстро получить информацию о сертификате из файла или хранилища.
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Проверка файла сертификата (.cer)
certutil -dump "C:\path\certificate.cer"
В выводе найдите строки «NotBefore» (начало действия) и «NotAfter» (окончание). Формат даты — «дд.мм.гггг чч:мм».
Просмотр всех сертификатов в хранилище «Личное»
certutil -store My
Команда выведет список всех установленных личных сертификатов с их сроками действия, серийными номерами и эмитентами.
Чек-лист: проверка срока действия ЭЦП
| ✓ | Действие | Периодичность |
|---|---|---|
| ☐ | Подключить токен руководителя и проверить дату окончания в КриптоПро CSP | Ежемесячно |
| ☐ | Проверить сроки сертификатов сотрудников через систему КЭДО или реестр | Ежемесячно |
| ☐ | За 45 дней до окончания — подать заявку на перевыпуск | По мере необходимости |
| ☐ | Убедиться, что лицензия КриптоПро CSP активна | При перевыпуске серта |
| ☐ | Уведомить сотрудников с Госключом о необходимости продления | За 30 дней |
| ☐ | После перевыпуска — установить новый серт в хранилище и проверить работу подписи | После каждого продления |
| ☐ | Обновить данные в системе ЭДО / торговой площадке / личном кабинете ФНС | После каждого продления |
Мини-кейс: 47 трудовых договоров и просроченный сертификат
Компания из Новосибирска (штат 200 человек, логистика) переводила удалённых водителей на КЭДО. HR-менеджер подготовила пакет из 47 трудовых договоров для дистанционного подписания. Документы отправили сотрудникам через оператора ЭДО в пятницу вечером, рассчитывая, что к понедельнику всё будет подписано. В субботу утром начали приходить отказы: система возвращала ошибку «Сертификат подписи работодателя истёк». Оказалось, срок действия КЭП руководителя закончился накануне — в четверг ночью. Два рабочих дня ушли на экстренный визит в ФНС для перевыпуска. Итог: задержка кадрового оформления на неделю, недовольство водителей, которые ждали выход на маршруты.
Вывод: проверяйте срок действия КЭП руководителя ежемесячно. Оптимально — настроить напоминание в корпоративном календаре за 45 дней до окончания.
Что делать, если сертификат скоро истекает
Алгоритм действий зависит от типа сертификата и удостоверяющего центра:
КЭП от УЦ ФНС (для ИП и руководителей юрлиц)
С 2023 года ФНС позволяет перевыпустить сертификат дистанционно — без визита в инспекцию. Условия: действующий (ещё не истёкший) сертификат, тот же токен, активная лицензия КриптоПро. Процедура выполняется через личный кабинет ФНС. Если серт уже истёк — только личный визит с паспортом и токеном.
КЭП от коммерческого УЦ
Большинство аккредитованных удостоверяющих центров (Контур, Калуга Астрал, Тензор, Такском) поддерживают продление через личный кабинет. Обычно нужно: авторизоваться с действующим сертификатом, создать заявку на перевыпуск, подтвердить данные и оплатить (если это платный тариф). Новый серт будет записан на тот же или новый токен.
УНЭП / УКЭП Госключ
Перевыпуск происходит прямо в мобильном приложении. Для УНЭП достаточно подтверждённой учётной записи Госуслуг — процесс занимает 2–3 минуты. Для УКЭП потребуется повторное сканирование биометрического загранпаспорта. В обоих случаях новый серт формируется мгновенно.
Мнение эксперта. Марина Солодова, руководитель проекта «Госключ» (Минцифры России), подчёркивает: если сотрудник удалил приложение — он теряет доступ к закрытому ключу. Восстановить старый сертификат невозможно, нужно выпускать новый. Поэтому HR-специалистам стоит предупреждать сотрудников: не удаляйте Госключ даже при смене телефона — сначала перенесите данные.
Как организовать контроль сроков в компании
Для организации с десятками и сотнями сотрудников ручная проверка каждого сертификата нереалистична. Вот три подхода к автоматизации:
1. Реестр сертификатов в Excel
Минимальный вариант для малого бизнеса: таблица с колонками «ФИО», «Должность», «УЦ», «Серийный номер», «Дата окончания», «Статус продления». Раз в месяц HR фильтрует по дате и связывается с теми, у кого осталось менее 30 дней. Просто, но требует дисциплины и ручного обновления.
2. Виджет в системе КЭДО
Современные системы кадрового электронного документооборота отслеживают сроки автоматически. В интерфейсе кадрового специалиста отображается виджет «Исполнительская дисциплина», где видно: у кого нет подписи, у кого она истекает, кто не подписал документы. Система Добыто. Подпись интегрирована с КриптоПро CSP и автоматически подтягивает данные о сертификатах — HR видит статус подписей всех сотрудников в едином дашборде.
3. Скрипт мониторинга (для IT-отделов)
Для организаций с развитой IT-инфраструктурой — PowerShell-скрипт, который раз в день проверяет хранилище сертификатов на сервере и отправляет письмо администратору при приближении срока окончания. Базовый вариант занимает 10–15 строк кода и не требует дополнительного ПО.
Как Добыто решает проблему контроля подписей
Когда организация переходит на кадровый электронный документооборот с Добыто. КЭДО, проблема «просроченных подписей» перестаёт быть головной болью кадровика. Система автоматически отслеживает сроки действия сертификатов всех сотрудников и уведомляет ответственных специалистов заблаговременно.
Ключевые возможности платформы в части управления подписями:
- Автоматический мониторинг сроков — система предупреждает за 30 дней до окончания сертификата.
- Интеграция с Госключом — сотрудники подписывают документы в один клик через мобильное приложение.
- Поддержка всех типов подписей: ПЭП, УНЭП, УКЭП — работодатель выбирает оптимальный вариант для каждого вида документов.
- Массовый выпуск подписей — при подключении нового отдела не нужно выдавать сертификаты по одному.
Тарифы: от 30 ₽ за сотрудника в месяц (тариф «Старт», до 25 сотрудников) до индивидуальных условий для корпораций. Тариф «Бизнес» (от 50 ₽ за сотрудника/мес, минимум 50 сотрудников за 30 000 ₽/год) включает интеграцию с 1С, кастомные шаблоны и электронный архив. Подробнее на странице тарифов.
Документы с истёкшим сертификатом: юридическая сила
Распространённый вопрос: если срок сертификата истёк — теряют ли силу ранее подписанные документы? Короткий ответ — нет, не теряют. Документ, подписанный действующей на тот момент ЭП, сохраняет юридическую силу и после окончания срока сертификата. Это прямо следует из логики 63-ФЗ: подпись верифицируется на момент подписания, а не на момент проверки.
Однако есть нюанс с усовершенствованной электронной подписью (формат CAdES-T, CAdES-XLT1 и выше). Если при подписании использовалась штамп времени (TSP) — момент подписания зафиксирован криптографически, и доказать действительность подписи можно даже через годы. Если штампа времени нет — теоретически возможна ситуация, когда невозможно точно доказать, что документ был подписан до истечения серта. На практике суды учитывают совокупность доказательств: логи системы, даты отправки, показания сторон.
Для кадровых документов в КЭДО это означает: подписанный трудовой договор или приказ об отпуске не «превращается в тыкву» после окончания серта работодателя. Но новые документы подписать уже не получится — сначала нужно продлить подпись.
Краткие выводы
Срок действия электронной подписи — параметр, который нужно контролировать регулярно, не дожидаясь аварийных ситуаций. Самый быстрый способ проверки — через КриптоПро CSP (вкладка «Сервис» → «Просмотреть сертификаты в контейнере»). Для дистанционной проверки без токена подойдёт портал Госуслуг или оснастка certmgr. Главное правило — начинать продление за 30–45 дней до окончания, пока серт ещё действителен: это даёт право на дистанционный перевыпуск без визита в удостоверяющий центр.
Для компаний с десятками сотрудников ручной контроль неэффективен — переход на систему КЭДО с автоматическим мониторингом подписей (как в Добыто) снимает эту задачу с кадровика и исключает простои из-за просроченных сертификатов.
FAQ: часто задаваемые вопросы
Как узнать срок действия ЭЦП, не подключая токен к компьютеру?
Если сертификат ранее устанавливался в хранилище Windows — откройте certmgr.msc и посмотрите дату окончания в столбце «Дата окончания». Если серт никогда не устанавливался — без подключения токена узнать срок невозможно. Альтернатива: если у вас есть экспортированный файл сертификата (.cer) — загрузите его на gosuslugi.ru/eds для онлайн-проверки.
За сколько дней до окончания нужно продлевать электронную подпись?
Рекомендуется начинать процесс продления за 30–45 дней. Для дистанционного перевыпуска в ФНС необходим действующий сертификат — если он уже истёк, придётся ехать лично. Коммерческие УЦ обычно принимают заявки на продление за 30 дней. Госключ напоминает за 30, 14 и 7 дней.
Можно ли продлить ЭЦП от ФНС без посещения налоговой?
Да, если текущий сертификат ещё действует. Процедура выполняется через личный кабинет ФНС (service.nalog.ru) с использованием того же токена. Если сертификат уже истёк или токен утерян — только личный визит с паспортом.
Чем отличается срок действия сертификата от срока лицензии КриптоПро?
Сертификат — электронный документ с ограниченным сроком (12–15 месяцев), подтверждающий принадлежность ключа конкретному лицу. Лицензия КриптоПро — право использовать программу-криптопровайдер. Лицензия может быть бессрочной (купленной отдельно) или встроенной в серт (действует пока серт). Для подписания нужны оба элемента одновременно.
Сертификат истёк — нужно ли покупать новый токен?
Нет. Токен (Рутокен, JaCarta) — это физический носитель. При продлении подписи новый сертификат записывается на тот же токен. Покупать новое устройство нужно только при его физической поломке, потере или переходе на другую модель. Устройства Рутокен ЭЦП 2.0 и 3.0 вмещают до 10–31 контейнера в зависимости от объёма данных сертификатов.
Как проверить срок подписи на Рутокене, если КриптоПро не видит контейнер?
Используйте Панель управления Рутокен — она работает напрямую с устройством через собственную библиотеку и видит все контейнеры, включая формат PKCS#11. Если панель тоже не видит токен — проверьте установку драйверов: скачайте актуальную версию с rutoken.ru и переустановите.
Как HR-специалисту контролировать сроки подписей всех сотрудников?
Оптимальный вариант — использовать систему КЭДО с функцией мониторинга подписей. Например, в Добыто.КЭДО есть виджет, показывающий, у кого заканчивается сертификат. Бюджетный вариант — вести реестр в Excel и проверять его раз в месяц. Для крупных компаний — скрипт мониторинга хранилища сертификатов на сервере.