Проверка действительности сертификата электронной подписи — процедура, которую выполняют перед подписанием контракта, при получении документа от контрагента или при подаче заявки на электронной торговой площадке. Без неё нет гарантии, что подпись на документе имеет юридическую силу, а сертификат не отозван и не просрочен. В этом материале разберём, какие сервисы позволяют проверить сертификат онлайн, что именно проверяется и какие нюансы упускают даже опытные специалисты. Тема входит в большой цикл о проверке электронной подписи, где описаны все аспекты верификации ЭП.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое сертификат электронной подписи и зачем проверять его действительность
Сертификат ключа проверки электронной подписи — электронный документ, который связывает открытый ключ с конкретным владельцем. Его выдаёт удостоверяющий центр. По сути, серт подтверждает: вот этот ключ принадлежит Иванову И.И., ИНН такой-то, СНИЛС такой-то. Без сертификата подпись — просто набор байтов, который невозможно привязать к человеку.
Квалифицированный сертификат (по ст. 17 63-ФЗ) содержит: уникальный серийный номер, ФИО или наименование организации владельца, даты начала и окончания действия, ключ проверки ЭП, наименование выдавшего УЦ, СНИЛС и ИНН, область применения ключа (Key Usage), стандарт криптографии (ГОСТ Р 34.10-2012). Для юрлиц — ещё ОГРН и адрес. Всё это зашито в структурированный файл формата X.509.
Проверять действительность нужно в нескольких ситуациях. Получили подписанный договор от контрагента — проверьте, что серт подписанта не отозван. Подаёте заявку на электронных торгах — площадка сама проверит ваш сертификат, но лучше убедиться заранее. Оформляете кадровые документы через КЭДО — сервис Добыто автоматически проверяет статус сертификата при каждом подписании, но при первичной настройке стоит проверить вручную.
4 условия действительности КЭП по статье 11 63-ФЗ
Статья 11 Федерального закона 63-ФЗ устанавливает четыре условия, при одновременном соблюдении которых квалифицированная электронная подпись признаётся действительной. Не три, не пять — ровно четыре. И если хотя бы одно не выполнено, подпись недействительна.
Первое: квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи сертификата. На февраль 2026 года в России осталось 43 аккредитованных УЦ — в 2021 их было порядка 500. Минцифры серьёзно зачистило рынок. Реестр аккредитованных УЦ размещён на портале e-trust.gosuslugi.ru.
Второе: сертификат действителен на момент подписания документа (при наличии штампа времени) или на момент проверки (если штамп времени отсутствует). Стандартный срок действия сертификата — 12-15 месяцев. У сертификатов ФНС — 15 месяцев.
Третье: подтверждена принадлежность ключа ЭП владельцу сертификата. Технически — это криптографическая проверка: хеш документа расшифровывается открытым ключом из сертификата и сравнивается с хешем исходного файла.
Четвёртое: электронный документ не был изменён после подписания. Если в файл внесли хоть один бит изменений — подпись автоматически невалидна.
Мария Ж, судебный эксперт по трудовому праву:
«В судебной практике первое, на что смотрит суд, — цепочка доверия сертификата. Если УЦ потерял аккредитацию на дату выдачи серта, все подписи, выданные в тот период, становятся юридически ничтожными. Мы в практике Добыто сталкивались с таким три раза за последний год — каждый раз приходилось экстренно перевыпускать подписи через другой УЦ.»
Онлайн-сервисы для проверки сертификата ЭП
Проверить сертификат можно несколькими способами — от портала Госуслуг до специализированного ПО. Разберём каждый.
Портал Госуслуг
На Госуслугах работает сервис проверки ЭП (gosuslugi.ru/pgu/eds). Загружаете файл подписи — сервис показывает данные о владельце, удостоверяющем центре, сроке действия и статусе сертификата. Поддерживает проверку КЭП и НЭП, откреплённые и прикреплённые подписи. Регистрация не нужна. Портал e-trust.gosuslugi.ru содержит отдельный инструмент sig-check для проверки подписей и реестр аккредитованных УЦ.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
КриптоПро CSP и КриптоПро DSS
КриптоПро CSP — основной крипто-провайдер в России, установлен у подавляющего большинства пользователей ЭП. Через него просматриваете свойства сертификата: серийный номер, срок действия, цепочку доверия, область применения ключа. Программа автоматически проверяет цепочку сертификатов от корневого Минцифры до вашего — если какое-то звено нарушено, сообщит об ошибке.
КриптоПро DSS (dss.cryptopro.ru/verify/) — онлайн-версия для проверки подписи без установки ПО. Загружаете файл, получаете отчёт. В практике нашего сервиса Добыто мы рекомендуем клиентам именно DSS для быстрой разовой проверки, когда КриптоПро CSP не установлен на компьютере.
КриптоАРМ ГОСТ 3
Десктопное приложение с сертификатом ФСБ (действует до мая 2027). Поддерживает все форматы CAdES — от базового BES до архивного CAdES-A. При проверке показывает детализированный отчёт: статус подписи, информацию о сертификате, результат проверки по CRL и OCSP. Для организаций, которые работают с электронными подписями постоянно, это рабочий инструмент. Есть и серверная версия — КриптоАРМ Server с REST API для автоматизации массовой проверки.
Контур.Крипто и другие сервисы
Контур.Крипто (ca.kontur.ru) — проверяет сертификат и подпись через браузер. Бесплатно до 30 проверок в месяц. Росэлторг, Такском и другие площадки также предоставляют сервисы проверки, но они ориентированы на своих пользователей.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Я лично предпочитаю проверять через КриптоПро CSP — там видна вся цепочка доверия. Госуслуги хороши для разовой проверки, когда нет крипто-провайдера под рукой. А для массовой верификации — КриптоАРМ Server, у нас в Добыто есть клиенты, которые проверяют по 500 подписей в день через API.»
CRL и OCSP: как проверяется статус отзыва сертификата
Сертификат может быть формально не просрочен, но отозван. Отзыв — отдельная процедура, и проверять нужно именно его. Есть два механизма.
CRL (Certificate Revocation List) — список отозванных сертификатов. УЦ публикует его периодически (раз в сутки, раз в неделю — зависит от УЦ). Список содержит серийные номера отозванных сертов. Программа скачивает CRL с URL, указанного в сертификате (поле CRL Distribution Points), и проверяет, нет ли серийного номера проверяемого сертификата в списке. Минус — CRL обновляется не в реальном времени. Между отзывом и попаданием в CRL проходит время.
OCSP (Online Certificate Status Protocol) — проверка статуса в реальном времени. Программа отправляет запрос OCSP-респондеру УЦ и мгновенно получает ответ: действителен, отозван или неизвестен. КриптоПро CSP и КриптоАРМ поддерживают оба протокола. Для критичных операций (подписание договоров, торги) используйте OCSP.
Для долгосрочного хранения подписанных документов существует формат CAdES XLong Type 1 — в подпись встраивается OCSP-ответ и штамп времени. Это позволяет подтвердить действительность сертификата на момент подписания даже через 10 лет, когда сам сертификат давно истёк. В электронных архивах КЭДО мы в Добыто храним документы именно в таком формате — с полной цепочкой доказательств.
Как проверить действительность сертификата ЭП через Добыто: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Перейдите на страницу проверки подписи Добыто. Установка программ и регистрация не требуются — сервис работает полностью в браузере.
- Шаг 2. Выберите тип подписи: «Присоединённая» (один файл, содержащий документ и подпись) или «Откреплённая» (два отдельных файла — документ и файл подписи .sig/.p7s).
- Шаг 3. Загрузите файлы. Для присоединённой подписи — один файл. Для откреплённой — перетащите или выберите исходный документ в поле «Документ», а файл подписи (.sig, .sgn, .p7s) — в поле «Файл подписи».
- Шаг 4. Поставьте галочку согласия на обработку персональных данных (152-ФЗ) и нажмите кнопку «Проверить подпись».
- Шаг 5. Дождитесь результата. Сервис проверит целостность подписи и отобразит сведения о сертификате: статус подписи (действительна или недействительна), данные владельца, удостоверяющий центр, срок действия сертификата. Если подпись недействительна — убедитесь, что выбран правильный тип и файл подписи соответствует документу.
Проверка сертификата вручную требует понимания цепочек доверия, форматов CAdES и протоколов CRL/OCSP. Если в штате нет специалиста по криптографии, а кадровые документы нужно подписывать ежедневно — передайте техническую часть сервису, который сделает это автоматически. В Добыто проверка сертификата встроена в каждый маршрут подписания: если серт просрочен или отозван, система не позволит подписать документ и уведомит кадровика.
Образцы документов для работы с электронной подписью
Открыть список документов
Причины, по которым сертификат становится недействительным
Самая банальная причина — истечение срока. 12-15 месяцев пролетают быстро, а уведомления о скором окончании приходят не всем. Особенно если почта, указанная при выдаче, уже не используется. В практике Добыто мы настраиваем автоматические напоминания за 30 и за 7 дней до окончания сертификата — это снимает проблему.
Отзыв по инициативе владельца — второй по частоте сценарий. Увольнение сотрудника, утеря токена, подозрение на компрометацию закрытого ключа. Владелец подаёт заявление в УЦ, сертификат отзывают и добавляют в CRL. С момента отзыва все новые подписи на этом сертификате недействительны.
Отзыв по инициативе УЦ — если при выдаче были нарушены процедуры идентификации или обнаружена ошибка в данных. Потеря аккредитации самим УЦ — более редкий случай, но в 2021-2022 годах, когда число аккредитованных центров сократилось с 500 до 43, это затронуло массу сертификатов.
Компрометация закрытого ключа — ситуация, когда к токену или контейнеру ключа получил доступ посторонний. По закону владелец обязан немедленно уведомить УЦ и отозвать сертификат. На практике… ну, многие не понимают, что такое компрометация. Если коллега воспользовался вашим Рутокеном, чтобы подписать документ за вас, — это уже компрометация, формально.
Изменение данных владельца без перевыпуска — смена фамилии, смена юридического адреса организации, изменение должности руководителя. Сертификат продолжает работать технически, но юридически он содержит неактуальные данные, что может стать основанием для оспаривания подписи.
Мария Ж, юрист со стажем более 20 лет:
«Часто встречаю ситуацию: кадровик уволился, а его УКЭП продолжает числиться в системе. Документы подписывают другие сотрудники этой же подписью — мол, какая разница. Разница — в том, что при проверке ГИТ каждый такой документ будет признан недействительным. Штраф по ст. 5.27 КоАП — до 50 000 рублей за каждое нарушение.»
Проверка сертификата vs проверка подписи: в чём разница
Путаница между этими понятиями — одна из частых ошибок. Проверка сертификата — это проверка самого электронного документа (сертификата): срок действия, отзыв, аккредитация УЦ, принадлежность владельцу. Проверка подписи — более широкая процедура, которая включает: математическую верификацию (хеш документа + открытый ключ), проверку действительности сертификата, подтверждение целостности документа после подписания.
Проще говоря: проверка подписи включает проверку сертификата как один из этапов. Но не наоборот. Можно проверить сертификат и убедиться, что он действителен, — а подпись на конкретном документе при этом окажется невалидной (если документ был изменен после подписания).
Для файлов с открепленной УКЭП это особенно критично: если сиг-файл не соответствует документу (загрузили не тот файл, файл был пересохранён), проверка подписи провалится, хотя сертификат полностью действителен.
Типичные ошибки при проверке сертификата и как их устранить
Ошибка «Цепочка сертификатов не может быть построена до доверенного корневого центра». Причина: не установлен корневой сертификат Минцифры или промежуточный сертификат УЦ. Решение: скачайте корневые сертификаты с сайта вашего УЦ или с портала ФНС (uc.nalog.ru/crt) и установите их в хранилище «Доверенные корневые центры сертификации» через КриптоПро CSP.
Ошибка «Сертификат отозван». Сертификат попал в CRL. Причины: владелец подал заявление на отзыв, УЦ обнаружил нарушения при выдаче, закончился срок действия с последующим отзывом. Решение: перевыпустить сертификат в УЦ.
Ошибка «Срок действия сертификата истёк». Самая частая. Решение: перевыпуск в УЦ. Для предотвращения — настроить контроль сроков действия сертификатов с автоматическими напоминаниями.
Ошибка «Не удалось проверить статус отзыва». Программа не смогла скачать CRL или получить OCSP-ответ. Причина: нет интернета, URL CRL недоступен, OCSP-респондер не отвечает. Решение: проверить подключение к интернету, убедиться, что антивирус или корпоративный прокси не блокирует запросы к CRL/OCSP-серверам.
Ошибка «Алгоритм ключа сертификата не поддерживается». Устаревшая версия КриптоПро CSP не поддерживает новые ГОСТ-алгоритмы. Решение: обновить КриптоПро CSP до версии 5.0 R3 (актуальная на 2026 год, сертификат ФСБ до 01.05.2027). Лицензия бессрочная, стоит порядка 2700 рублей на одно рабочее место.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«По нашей статистике, 40% обращений в техподдержку связаны именно с просроченными сертификатами. Люди забывают продлевать. В Добыто мы встроили виджет исполнительской дисциплины — кадровик видит, у кого из сотрудников заканчивается подпись, и может запустить процесс перевыпуска до того, как все встанет.»
Стоимость инструментов для проверки сертификатов ЭП в 2026 году
Стоимость зависит от того, проверяете ли вы сертификаты разово или это регулярный процесс в рамках КЭДО. Бесплатные сервисы (Госуслуги, КриптоПро DSS) подходят для единичных проверок. Для организаций с регулярным документооборотом нужны лицензионные инструменты или КЭДО-сервис с встроенной проверкой.
| Инструмент / Тариф | Стоимость | Условия |
|---|---|---|
| Госуслуги (проверка ЭП) | Бесплатно | Без ограничений |
| КриптоПро DSS (онлайн) | Бесплатно | Разовые проверки |
| Добыто КЭДО — тариф «Старт» | от 30 руб. за сотрудника/мес | До 25 сотрудников |
| Добыто КЭДО — тариф «Бизнес» | от 50 руб. за сотрудника/мес | Неограниченно сотрудников |
| Добыто КЭДО — тариф «Корпорация» | По запросу | Выделенный сервер, SLA 99.9% |
| КриптоПро CSP 5.0 (лицензия) | от 2 700 руб. | Бессрочно, 1 рабочее место |
Итоговая стоимость зависит от количества сотрудников, выбранного тарифа и набора подключаемых модулей. Для организаций с КЭДО проверка сертификатов входит в стоимость подписки и не тарифицируется отдельно — актуальные тарифы сервиса Добыто помогут сориентироваться по бюджету.
Аккредитованные удостоверяющие центры: как проверить статус УЦ
Даже действующий сертификат юридически ничтожен, если его выдал УЦ, потерявший аккредитацию. Проверить статус УЦ можно на портале e-trust.gosuslugi.ru — там размещён актуальный реестр с указанием дат аккредитации, срока действия и статуса каждого центра. На сайте Минцифры (digital.gov.ru) также ведётся перечень.
С 2022 года аккредитованные коммерческие УЦ выдают сертификаты только физическим лицам. Юридические лица и индивидуальные предприниматели получают УКЭП через УЦ ФНС. В 2025 году ФНС выдала 5,5 млн сертификатов — это лидер рынка. Всего аккредитованными центрами выдано 18,3 млн сертификатов за 2025 год, 93% пришлось на десятку крупнейших УЦ.
Для организации, внедряющей КЭДО, стоит проверить: какой УЦ выпускает УКЭП вашим сотрудникам, действует ли его аккредитация, корректно ли установлены корневые сертификаты этого УЦ на рабочих местах. В Добыто этот процесс стандартизирован — при подключении клиента мы проверяем всю цепочку и помогаем с настройкой корневых сертификатов.
Мария Ж, HR-эксперт с 13-летним стажем:
«Когда в 2021-2022 аккредитации массово отзывали, несколько наших клиентов столкнулись с тем, что подписи на кадровых документах оказались под вопросом. С тех пор мы включили автоматическую проверку аккредитации УЦ в процесс верификации — система сверяется с реестром e-trust при каждом подписании.»
Выводы: проверка действительности сертификата электронной подписи
Действительность сертификата ЭП определяется четырьмя условиями ст. 11 63-ФЗ: аккредитация УЦ на дату выдачи, непросроченность на момент подписания или проверки, подтверждённая принадлежность ключа, целостность документа. Проверить сертификат можно бесплатно через портал Госуслуг или КриптоПро DSS, а для регулярной работы — через КриптоАРМ ГОСТ 3 или КЭДО-сервис с встроенной верификацией. На февраль 2026 года в реестре 43 аккредитованных УЦ, лидер по выдаче — УЦ ФНС (5,5 млн сертификатов в 2025).
Настройте контроль сроков действия сертификатов заранее — напоминания за 30 дней до истечения снимают 40% типичных проблем. Убедитесь, что корневые сертификаты Минцифры и вашего УЦ установлены на всех рабочих местах. При работе с откреплёнными подписями (.sig) проверяйте соответствие файла подписи и документа — несовпадение не означает, что сертификат недействителен, это ошибка на стороне файлов.
Для долгосрочного хранения подписанных документов используйте формат CAdES XLong Type 1 или CAdES-A с встроенными OCSP-ответами и штампами времени. Это позволит подтвердить действительность сертификата даже через годы после его истечения — критично для кадровых документов со сроком хранения 50 лет.
Часто задаваемые вопросы
Сколько действует сертификат электронной подписи?
Можно ли проверить сертификат без установки КриптоПро?
Чем отличается проверка сертификата от проверки подписи?
Что такое CRL и OCSP и зачем они нужны при проверке?
Как проверить, аккредитован ли удостоверяющий центр?
Можно ли использовать документ, подписанный просроченным сертификатом?
Что делать, если КриптоПро не видит сертификат на токене?
Сколько сертификатов можно хранить на одном токене?
Как проверить сертификат электронной подписи Госключ?
Что означает формат CAdES XLong Type 1 и зачем он нужен?
Где получить УКЭП для юридического лица в 2026 году?
Как автоматизировать контроль сроков действия сертификатов в организации?
Проверка действительности сертификата — техническая процедура, которая при регулярном кадровом документообороте должна выполняться автоматически. Добыто.КЭДО проверяет статус сертификата при каждом подписании документа, контролирует сроки действия и уведомляет о приближающемся окончании. За время работы сервис подключил более 500 компаний к КЭДО, и в каждом проекте настройка верификации сертификатов входит в стандартный этап внедрения.
Если ваша организация работает с электронными подписями и кадровыми документами — автоматизация проверки сертификатов экономит время кадровика и снижает риск подписания документа просроченной или отозванной ЭП.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия) — ставится за час без привлечения разработчиков
- Виджеты входящих и исполнительской дисциплины — кадровик видит, у кого заканчивается подпись
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ