КриптоАРМ показывает ошибку при проверке корректной подписи в большинстве случаев не из-за самой подписи, а из-за того, что на рабочем месте не выстроилась цепочка доверия к сертификату или программа не смогла проверить его статус. Здесь вы разберётесь, чем криптографическая верность подписи отличается от доверия к сертификату, почему файл, который вчера проходил проверку, сегодня даёт красный статус, и как вернуть зелёную галочку за несколько шагов без перевыпуска ключа. Это часть большого материала про проверку электронной подписи, где собраны все способы проверки — от Госуслуг до программ на рабочем столе.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что означает ошибка при проверке подписи в КриптоАРМ
КриптоАРМ при обращении к сертификату каждый раз проверяет его статус и выдаёт один из трёх результатов: действителен, недействителен, неизвестен. И вот тут кроется первое недопонимание. Подпись может быть математически абсолютно верной — хеш документа совпал, закрытый ключ соответствует открытому, целостность файла не нарушена — а статус всё равно красный. Потому что верность криптографии и доверие к сертификату это две разные проверки.
Первая проверка отвечает на вопрос: не менялся ли документ после подписания. Вторая — можно ли доверять тому, кто его подписал, то есть выстраивается ли цепочка от сертификата пользователя через удостоверяющий центр до корневого сертификата, которому система доверяет, и не попал ли серт в список отозванных. Если хотя бы одно звено этой цепочки на компьютере отсутствует, КриптоАРМ честно пишет, что путь сертификации построить не удалось. Подпись при этом корректная. Просто программе нечем подтвердить доверие.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Половина обращений с темой «КриптоАРМ ругается на нормальную подпись» решается за минуту. Человек уверен, что у него битая закрытка или испорченный серт, а на деле просто не подгрузился СОС или не установлен корневой. Подпись-то «тройка» проверяет верно, ей доверие к УЦ подавай, а его на машине нет. Поставили корневой — и сразу зелёная галочка.»
Почему корректная подпись не проходит проверку: 8 причин
Разберу причины по частоте, с которой они встречаются на практике. Почти все они касаются окружения — сертификатов, СОС, криптопровайдера, настроек, — а не самого файла подписи.
1. Не установлен корневой сертификат удостоверяющего центра
Самая частая причина. Цепочка проверки строится снизу вверх: сертификат конкретного человека, затем сертификат удостоверяющего центра, который его выпустил, затем вышестоящий, и на вершине — головной удостоверяющий центр Минцифры, подписывающий сертификаты всех аккредитованных УЦ. Если корневого сертификата УЦ или Минцифры на машине нет, цепочка обрывается, и КриптоАРМ пишет «статус сертификата: недействителен, ошибка построения пути сертификации». Лечится установкой корневого: сертификат Минцифры идёт в хранилище «Доверенные корневые центры сертификации», сертификат УЦ ФНС — в «Промежуточные центры сертификации». Ссылку на скачивание корневого можно вытащить прямо из сертификата — вкладка «Состав», строка «Доступ к информации о центрах сертификации».
2. Не загружен или устарел список отозванных сертификатов (СОС)
Бывает, что цепочка построена, корневой стоит, а статус всё равно «неизвестен, локальный СОС не найден». Это значит, что КриптоАРМ не нашёл актуальный список отозванных сертификатов того УЦ. По закону при проверке квалифицированной подписи проверяется принадлежность сертификата и его статус по списку отзыва. В сертификате прописана точка распространения СОС (CDP) — адрес, откуда программа тянет список по http, ftp или из файла. Нет интернета, прокси в браузере перехватывает запрос, адрес недоступен — СОС не подгрузился. Решение: в личном хранилище правой кнопкой по сертификату выбрать «Проверить статус» и обновить СОС по списку, полученному из УЦ. Список встанет в локальное хранилище, статус обновится.
3. Истёк срок действия сертификата на момент проверки
Сертификат проверки подписи действует ограниченный срок. Срок действия ключа подписи и срок действия ключа проверки — разные вещи. Документ подписали год назад действующим сертификатом, всё было корректно, а сегодня серт уже просрочен, и при проверке КриптоАРМ показывает, что сертификат недействителен. Подпись была верна на момент создания. Чтобы такие документы проверялись и через год, и через десять лет, в подпись закладывают доказательства подлинности — штамп времени и метку о действительности сертификата на момент подписания. Это и есть усовершенствованная подпись формата CAdES. Без метки времени после истечения сертификата подпись формально повисает в воздухе.
Мария Ж, судебный эксперт в сфере трудового права:
«Метка времени — это не блажь, а страховка. Подписали кадровый приказ обычным CMS, серт через год протух, и доказывай потом, что подпись была живой на дату документа. Поэтому для архива всё, что хранится дольше срока ключа, надо «ухаживать за подписью»: штамп времени, ОЦСП-ответ, архивная метка поверх. Тогда зелёный статус останется хоть через 50 лет.»
4. Путаница присоединённой и отсоединённой подписи
Подпись бывает двух видов. Присоединённая включена внутрь файла — это формат CMS (PKCS#7), один файл с расширением sig содержит и документ, и подпись. Отсоединённая лежит рядом отдельным файликом, а исходный документ — сам по себе. Для проверки отсоединённой подписи нужны оба файла — и документ, и sig. Если в КриптоАРМ подсунуть только sig без исходника, или исходник, но не тот, что подписывали, проверка не пройдёт. Программа сравнит хеш приложенного документа с хешем, зашитым в подпись, они не совпадут, и подпись отметится как невалидная. А подпись-то корректная — просто проверяете её не с тем файлом. Как устроены отсоединённые подписи и как их правильно формировать, подробно описано в материале про создание отсоединённой подписи в КриптоПро.
5. Документ изменили после подписания
Иногда документ меняется незаметно для человека. Файл переслали через почту или мессенджер, и он пересохранился в другой кодировке, поменялись невидимые служебные байты, или кто-то открыл и пересохранил Word даже без правок. Хеш изменился — подпись перестала соответствовать содержимому. КриптоАРМ покажет, что целостность нарушена. Формально подпись корректна для исходного файла, но проверяемый файл — уже не исходный. Поэтому подписанные документы пересылают без перепаковки, а отсоединённую подпись и документ держат вместе и не редактируют.
6. Не установлен или несовместим криптопровайдер
КриптоАРМ ГОСТ работает поверх СКЗИ — чаще всего это КриптоПро CSP. Нет установленного КриптоПро или стоит устаревшая версия, не понимающая алгоритм подписи (например, ГОСТ Р 34.10-2012), и проверка падает с ошибкой про несовместимый хеш-алгоритм или вовсе про отсутствие криптопровайдера. Сюда же относится истёкшая лицензия КриптоАРМ ГОСТ. Корневые сертификаты основных УЦ, кстати, входят в свежие сборки КриптоПро CSP, поэтому обновление провайдера до актуальной версии нередко закрывает сразу несколько проблем.
7. Сбито системное время на компьютере
Проверка статуса сертификата и срока его действия привязана к системному времени. Если на машине сбились дата и время — села батарейка, кто-то выставил будущий год, — КриптоАРМ может посчитать действующий сертификат уже просроченным или ещё не вступившим в силу. Подпись корректна, а программа сравнивает её с неверной датой. Выставили правильное время — статус восстановился.
8. Настройки профиля верификации и прокси
В КриптоАРМ есть профили настроек проверки. В разделе «Настройки» — «Управление настройками» — «Профили» на вкладке верификации сертификатов задаётся, какие УЦ считать доверенными и как тянуть СОС. Если профиль настроен жёстко, а нужный УЦ туда не добавлен, программа откажется доверять подписи. Отдельная засада — включённая автоматическая настройка прокси-сервера в Internet Explorer: она мешает КриптоАРМ скачивать корневой и СОС автоматически. Отключение прокси и добавление УЦ в профиль возвращают проверку в рабочее состояние.
Мария Ж, юрист со стажем более 20 лет:
«Я всегда говорю: прежде чем паниковать и звонить в УЦ, посмотрите на статус глазами программы. КриптоАРМ показывает не «подпись плохая», а «я не смог проверить доверие». Это разные вещи. В девяти случаях из десяти причина на стороне рабочего места — корневой, СОС, время, крипта. Сам файл подписи трогать не надо.»
Образцы документов и инструкции по электронной подписи
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Заявление на выпуск квалифицированного сертификата ЭП | Скачать |
| Заявление на аннулирование сертификата ЭП | Скачать |
| Доверенность на получение сертификата ЭП | Скачать |
| Согласие на обработку ПДн для выпуска сертификата ЭП | Скачать |
| Соглашение об использовании ПЭП и НЭП | Скачать |
Как исправить ошибку проверки подписи в КриптоАРМ
Порядок действий идёт от простого к сложному. В большинстве случаев хватает первых двух-трёх шагов. Перебирать причины наугад смысла нет — двигайтесь по списку. На проектах внедрения Добыто мы первым делом смотрим именно на эти пять пунктов, и до перевыпуска ключа дело почти никогда не доходит.
Как вернуть зелёный статус подписи: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Проверьте дату и время на компьютере. Сбитое системное время — частая причина ложной просрочки сертификата.
- Шаг 2. Откройте сертификат в личном хранилище, вкладка «Состав», строка «Доступ к информации о центрах сертификации». Скачайте корневой сертификат УЦ по ссылке (файл crt или cer) и установите его: Минцифры — в «Доверенные корневые центры сертификации», УЦ — в «Промежуточные».
- Шаг 3. Обновите список отозванных сертификатов: правой кнопкой по сертификату — «Проверить статус» — «По СОС (CRL), полученному из УЦ». Актуальный СОС встанет в локальное хранилище.
- Шаг 4. Для отсоединённой подписи убедитесь, что проверяете её вместе с тем самым исходным документом, который подписывали, а не с пересохранённой копией.
- Шаг 5. Обновите КриптоПро CSP до актуальной версии и проверьте лицензию КриптоАРМ ГОСТ. В разделе «Настройки» — «Профили» добавьте нужный УЦ в доверенные и отключите автонастройку прокси в браузере.
Ручная возня с корневыми, СОС и профилями верификации — это нормально для одного-двух сертификатов. Но когда в компании сотни подписанных кадровых документов и десятки сотрудников с разными сертификатами, проверять каждый файл вручную в КриптоАРМ становится отдельной работой. В сервисе Добыто проверка целостности подписи и статуса сертификата идёт автоматически при загрузке документа, а вся цепочка подписей хранится с отметками времени.
Чем проверить подпись кроме КриптоАРМ
КриптоАРМ — не единственный инструмент. Если на машине не получается выстроить цепочку, подпись можно проверить там, где корневые сертификаты и СОС подгружаются на стороне сервиса. Государственный портал проверки работает на сайте Госуслуг, а список аккредитованных удостоверяющих центров и корневые сертификаты головного УЦ опубликованы на портале уполномоченного органа e-trust.gosuslugi.ru.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Из десктопных программ ту же задачу решают встроенные инструменты КриптоПро, КриптоАРМ Server для потоковой проверки и онлайн-сервисы. Полный разбор вариантов с плюсами и минусами каждого есть в обзоре программ для подписания документов ЭЦП.
Онлайн-проверка удобна тем, что не требует устанавливать криптопровайдер и вручную возиться с СОС. В практике Добыто чаще всего к нам приходят именно за этим — проверить присланный контрагентом sig-файл быстро, без танцев с бубном вокруг хранилища сертификатов. Сервис принимает и присоединённую подпись одним файлом, и отсоединённую парой документ плюс sig, и показывает статус с информацией о сертификате.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Стоимость КЭДО с проверкой и подписанием электронной подписи
Отдельная проверка подписи на сайте Добыто бесплатна. Если же нужна не разовая проверка, а постоянная работа с электронной подписью — подписание кадровых документов, автоматическая проверка статуса при загрузке, хранение цепочки с метками времени, — это уже тариф сервиса КЭДО. Итоговая сумма зависит от численности персонала, выбранного тарифа и набора подключаемых модулей.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — ПЭП и УНЭП, базовые шаблоны, email-поддержка | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес — ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив | от 50 ₽ за сотрудника / мес | минимум 50 сотрудников, 30 000 ₽ в год |
| Корпорация — всё из Бизнес, выделенный сервер, SLA 99.9%, API | по запросу | персональный менеджер |
На цену влияет численность штата, вид используемой подписи и нужен ли электронный архив с длительным хранением и усовершенствованием подписи метками времени. Чтобы посчитать под свою компанию, сверьтесь с разделом актуальные тарифы сервиса Добыто — там разбита комплектация каждого тарифа.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Когда у компании пара тысяч сотрудников и архив на десятки лет, ручная проверка в КриптоАРМ просто не масштабируется. Мы закладываем автоматическую проверку и «ухаживание за подписью» — чтобы серт протух, а зелёная галочка осталась. Это вопрос не удобства, а юридической значимости документа в суде через много лет.»
Выводы: почему КриптоАРМ показывает ошибку при корректной подписи
Красный статус в КриптоАРМ почти никогда не означает, что подпись поддельная или битая. Программа проводит две независимые проверки — криптографическую верность подписи и доверие к сертификату через цепочку и список отзыва. Корректная подпись спотыкается именно на втором: не установлен корневой сертификат УЦ или Минцифры, не подгрузился актуальный СОС, истёк срок сертификата без метки времени, проверяется отсоединённая подпись не с тем файлом, или нет нужной версии криптопровайдера. Все эти причины лежат на стороне рабочего места, а не файла.
Действуйте по порядку: системное время, корневой сертификат в правильное хранилище, обновление СОС по списку из УЦ, проверка пары документ-подпись для отсоединённого формата, затем версия КриптоПро CSP, лицензия КриптоАРМ и профиль верификации без прокси. Перевыпускать ключ или заново подписывать документ при этом не нужно. Для документов с долгим сроком хранения подпись сразу делают усовершенствованной — со штампом времени и доказательством действительности сертификата, иначе после истечения срока проверка перестанет проходить.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
На больших объёмах ручная проверка каждого файла нерациональна. Автоматическая проверка статуса при загрузке, хранение цепочки подписей с отметками времени и периодическое переподписание архивных документов снимают проблему ложных ошибок и сохраняют юридическую значимость на годы вперёд.
Часто задаваемые вопросы
Подпись корректная, а КриптоАРМ пишет «недействителен» — это ошибка программы?
Что значит статус «неизвестен, локальный СОС не найден»?
Куда устанавливать корневые сертификаты Минцифры и УЦ ФНС?
Почему документ проверялся год назад, а сейчас выдаёт ошибку?
Чем присоединённая подпись отличается от отсоединённой при проверке?
Может ли пересылка файла по почте сломать подпись?
КриптоАРМ требует КриптоПро CSP — что делать?
Что такое предупреждение «Нет полного доверия к сертификату подписи»?
Можно ли проверить подпись без установки КриптоАРМ?
Влияет ли системное время компьютера на проверку подписи?
Нужно ли заново подписывать документ, если КриптоАРМ выдал ошибку?
Чем КриптоАРМ Server отличается от обычного КриптоАРМ для проверки?
Разовую проверку sig-файла удобно сделать онлайн, без установки КриптоАРМ и ручной возни с корневыми и СОС. А когда электронная подпись становится частью ежедневной работы — подписание кадровых документов, проверка статуса при загрузке, хранение цепочки на годы, — проще перевести это на сервис, который ведёт проверку автоматически.
Сервис Добыто работает с кадровым документооборотом и электронной подписью в одном интерфейсе. Мы подключили к электронному документообороту не одну сотню компаний и знаем, где чаще всего спотыкается проверка подписи на стороне рабочего места.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ
- Мобильное приложение для подписания документов с телефона — без похода в отдел кадров