Проверка электронной подписи на документах ЭДО в Контур Диадоке — это процедура, при которой система автоматически сверяет действительность сертификата, целостность документа и статус подписавшего лица сразу после поступления документа от контрагента. Из статьи вы поймёте, что Диадок проверяет сам, что приходится смотреть руками, как прочитать протокол проверки и где он реально пригодится при споре. Это часть большого материала про проверку электронной подписи на подлинность, где собраны все способы убедиться в легитимности документа — от Госуслуг до КриптоПро.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое Контур Диадок и какую подпись он проверяет
Контур Диадок — оператор электронного документооборота, через который компании обмениваются юридически значимыми документами: счетами-фактурами, актами, накладными, договорами. Каждый входящий документ в системе уже подписан усиленной квалифицированной электронной подписью, потому что для счетов-фактур и большинства первички по 63-ФЗ другой вариант не проходит. УКЭП тут не прихоть оператора, а требование к формализованным документам ФНС.
Сразу разведём два понятия, которые путают почти все. ЭЦП — народное название, оно ушло из закона ещё в 2011 году, сейчас правильно говорить ЭП, хотя в госте на алгоритм подписи 34.10 термин «электронная цифровая подпись» до сих пор встречается. И ещё: то, что вы видите на документе — это не «электронная ручка», не картинка. Подпись — это число, вычисленное на основе содержимого документа через хэш-функцию и закрытый ключ. Поэтому любая правка в файле после подписания ломает математику, и подпись перестаёт проходить проверку.
Диадок работает с присоединённой и отсоединённой подписью. В первом случае подпись лежит внутри контейнера документа, во втором рядом образуется отдельный файл — тот самый сиг-файл. Для проверки отсоединённой подписи нужны оба файла: исходный документ и файл подписи. Если у вас на руках только PDF со штампиком, а сиг-файла нет — проверить нечего, это просто визуализация.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Первое, что я объясняю клиентам — тот синенький квадратик на документе ничего не доказывает. Штампик нарисован, его можно подделать в любом редакторе за пять минут. Юридическую значимость несёт сиг-файл и сертификат внутри подписи, а не плашечка. Если контрагент прислал распечатку со штампом и просит считать её оригиналом — это разговор ни о чём.»
Что Диадок проверяет автоматически при поступлении документа
Когда документ приходит в ваш ящик в Диадоке, система не ждёт, пока вы нажмёте кнопку. Проверка идёт фоном. И проверяет она ровно те вещи, которые закон требует для признания квалифицированной подписи равнозначной собственноручной. Перечислю по порядку, потому что тут важен каждый пункт.
Первое — целостность документа. Система заново считает хэш файла и сравнивает с тем хэшем, который зашит в подпись. Совпали — документ после подписания не меняли. Не совпали — где-то по дороге что-то потерялось или кто-то залез в содержимое. Второе — срок действия сертификата на момент подписания. Сертификат живёт ограниченно, раньше год-полтора, сейчас выдают и на более длинные сроки, но дата подписания должна попадать в этот интервал. Третье — проверка по списку отозванных сертификатов, тот самый CRL, и через службу актуальных статусов OCSP. Сертификат могли отозвать досрочно — например, сотрудник уволился и подпись аннулировали. Если на момент подписания он уже был в списке отзыва, подпись недействительна.
Четвёртое, и тут многие спотыкаются — построение цепочки доверия до корневого сертификата. Иерархия такая: на самом верху Минцифры (головной удостоверяющий центр), ниже — аккредитованный УЦ, который выпустил подпись, в самом низу — сертификат конкретного человека или организации. Диадок строит эту цепочку и проверяет каждое звено. Если хоть одно звено не подтверждается, выходит ошибка вида «не найден корневой сертификат». В вебе через Диадок это решается на стороне оператора, а вот когда вы проверяете ту же НЭП у себя на компьютере, корневые сертификаты приходится доустанавливать руками — система по умолчанию не доверяет всем подряд УЦ.
Что приходится проверять вручную и почему автоматики мало
Автоматическая проверка отвечает на технический вопрос: подпись математически верна, сертификат действителен, документ не менялся. Но она не отвечает на вопрос юридический — а тот ли человек подписал и были ли у него полномочия. Вот тут начинается ручная работа, и забивать на неё нельзя.
Откройте сертификат подписанта. В нём указано, кому выдана подпись — физлицу, должностному лицу или это обезличенный сертификат организации. Обезличенными сертификатами подписывают документы автоматически, на потоке — счета, квитанции, которые информационная система формирует пачками. Такой сертификат привязан к юрлицу и информационной системе, сотрудник им пользоваться не должен. Если документ, который требует личного решения, подписан обезличкой — это повод задать вопросы. Дальше смотрите МЧД, машиночитаемую доверенность. С переходом на МЧД подпись физлица сама по себе ничего не значит без доверенности, которая подтверждает полномочия этого человека действовать от имени компании. В Диадоке МЧД проверяется отдельно — система сверяет статус доверенности в реестре ФНС.
В практике Добыто мы при онбординге контрагента в КЭДО всегда отдельно прогоняем проверку полномочий подписанта, потому что техническая валидность подписи и право подписи — две разные вещи. Был случай: документы шли с действительной подписью, всё зелёное, а доверенность у человека закончилась за неделю до подписания. Формально подпись валидна, юридически документ повисает.
Мария Ж, судебный эксперт по трудовому праву:
«Когда дело доходит до суда, зелёная галочка в Диадоке — это ещё не победа. Суд смотрит, действовал ли сертификат на момент подписания, не отозван ли он, и был ли документ передан в неизменном виде. А ещё — кто и по какой доверенности подписал. Я видела споры, где подпись техническая была идеальна, но человек уже не имел полномочий. Поэтому МЧД и сертификат я проверяю всегда, не доверяя одной галочке.»
Образцы документов для работы с ЭДО и электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Шаблон соглашения по ЭДО | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Криптографическая защита информации (процессы формирования и проверки) | Скачать |
| Правила обработки персональных данных | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Примерная форма трудового договора | Скачать |
| Приказ о КЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
Как проверить электронную подпись на документе в Диадоке: пошаговая инструкция
Сама проверка в интерфейсе занимает меньше минуты, но смотреть надо не только на статус, а на содержимое сертификата. Документ, подписанный отсоединённой подписью, можно выгрузить вместе с файлом подписи — и проверить его уже в любой сторонней программе, если результата Диадока вам мало.
Как проверить подпись на входящем документе: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Откройте входящий документ в Диадоке и найдите блок со статусом подписи — система показывает результат автоматической проверки сразу.
- Шаг 2. Нажмите «Подробнее о подписи» и проверьте данные сертификата: кому выдан, кем выдан (аккредитованный УЦ), срок действия «с — по».
- Шаг 3. Убедитесь, что дата подписания попадает в срок действия сертификата и что сертификат не отозван — этот статус Диадок берёт через OCSP.
- Шаг 4. Если подпись от имени организации — откройте МЧД и сверьте полномочия подписанта, срок действия доверенности и реквизиты.
- Шаг 5. При необходимости выгрузите документ с файлом подписи (сиг-файлом) и протоколом проверки — для архива или передачи в суд.
Если результата встроенной проверки мало — например, нужен независимый протокол — выгруженный сиг-файл и исходный документ проверяют в отдельном сервисе. Принцип везде одинаковый: загружаете документ, при отсоединённой подписи добавляете файл подписи, получаете статус и протокол. По такому же сценарию работает проверка файла с откреплённой УКЭП — там разобрано, как создать и проверить отсоединённую подпись отдельно от документа.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Сверка МЧД, цепочки сертификатов и статусов отзыва по каждому контрагенту — тот момент, на котором кадровики и бухгалтеры чаще всего спотыкаются. Техническая галочка есть, а полномочия подписанта никто не посмотрел, и документ потом не проходит при проверке. Мы в Добыто настраиваем эту проверку так, чтобы система сама подсвечивала, у кого заканчивается подпись и где не хватает доверенности.
Протокол проверки подписи: зачем он нужен и как его получить
Протокол проверки — это документ, который фиксирует результат сверки: какая подпись, чей сертификат, действовал ли он на момент подписания, прошла ли проверка целостности. Диадок формирует такой протокол по входящим документам, его можно выгрузить и приложить к делу. В отдельных сервисах протокол выгружается в PDF — наглядно, со статусом и информацией о подписанте, чтобы можно было в любой момент вернуться к документу или распечатать.
Зачем он нужен на практике? Главный сценарий — суд и проверка регулятором. Если возникает спор, кто и когда подписал документ, протокол вместе с сиг-файлом и есть доказательство. Сами по себе штампики юридической силы не несут, это визуализация для пользователя. Выгружают именно архив: первичный документ, файлы подписи, протокол. В кадровом ЭДО логика та же — при споре суд требует первичный документ и файлы подписи, а не распечатку.
Мария Ж, юрист со стажем более 20 лет:
«Отметка времени — то, на что при внедрении ЭДО почти никто не смотрит, а зря. Без штампа времени вы не докажете момент подписания, когда сертификат уже истёк. У контура это в коробке, через API возвращается подпись уже с меткой времени. Я всегда советую: закладывайте ухаживание за подписью сразу, иначе через пару лет архив превратится в набор файлов, которые невозможно проверить.»
Усовершенствованная подпись и долговременное хранение в ЭДО
Отдельная история — что будет с подписью, когда сертификат истечёт. Сертификат действует ограниченно, а кадровые и финансовые документы хранятся годами, иногда до 50 лет. Через три года после подписания обычная подпись формально перестаёт проверяться — сертификат уже неактуален. Чтобы этого избежать, применяют усовершенствованную подпись, она же форматы CAdES вместо классического CMS.
В усовершенствованную подпись добавляют доказательства подлинности: штамп времени от доверенной службы (есть у налоговой, есть у удостоверяющих центров), ссылки на сертификаты и OCSP-ответы, подтверждающие, что на момент подписания сертификат не был отозван. И архивную метку — она объединяет предыдущие доказательства и переподписывается поверх при смене криптоалгоритмов. На профессиональном сленге это называют ухаживанием за подписью или работой архивариуса. Без этого долговременный электронный архив теряет легитимность.
Контур Диадок и тот же Контур.Экстерн умеют возвращать подпись со штампом времени и улучшать её до архивного формата. Если вы работаете в Контуре, эта функция чаще всего есть из коробки — удостоверяющий центр СКБ Контур держит собственную службу штампа времени. Когда вы только настраиваете обмен и подписание, важно сразу определить порядок подписания документов в Контуре, чтобы не переделывать архив задним числом.
Частые ошибки при проверке подписи в ЭДО
Ошибки тут стоят денег, поэтому разберу те, что вижу чаще всего.
Ошибка первая — считать штамп подтверждением подлинности. Кадровик или бухгалтер видит плашечку с надписью «документ подписан ЭП» и принимает документ, потому что штамп выглядит официально. Цена ошибки: при споре выясняется, что сиг-файла нет, проверить подпись нельзя, документ юридически пустой.
Ошибка вторая — игнорировать разрыв цепочки сертификатов при работе с НЭП вне Диадока. Человек выгружает документ, проверяет у себя на компьютере, видит ошибку корневого сертификата и либо устанавливает первый попавшийся сертификат как доверенный, либо вообще плюёт на проверку. Делают так от незнания иерархии УЦ. Цена ошибки: установив непроверенный корневой сертификат, вы заставляете свой Windows доверять всему, что им подписано — это прямая дыра в безопасности.
Ошибка третья — не проверять МЧД и срок полномочий. Подпись валидна, а доверенность просрочена или человек уже уволился, но его подпись осталась в реестре компьютера, и на неё повешена МЧД. Делают так, потому что относятся к подписи легко. Цена ошибки: документ, подписанный лицом без полномочий, оспаривается, а компания получает спор на ровном месте. За время работы Добыто мы подключили к КЭДО и ЭДО сотни компаний, и почти в каждом проекте этап проверки полномочий подписантов оказывался слабым местом — его настраивают в последнюю очередь.
Стоимость подключения ЭДО и КЭДО с проверкой подписи
Стоимость зависит от численности сотрудников, выбранного тарифа и набора подключаемых модулей — проверка подписи, электронный архив, интеграция с учётной системой. Привожу тарифы сервиса КЭДО Добыто по релевантным позициям.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — до 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка | от 30 ₽ за сотрудника / мес | До 25 сотрудников |
| Бизнес — неограниченно сотрудников, ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив, приоритетная поддержка | от 50 ₽ за сотрудника / мес | Минимальная оплата 50 сотрудников за 30 000 ₽ в год |
| Корпорация — всё из тарифа Бизнес, выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции | По запросу | Крупный бизнес |
Итоговая сумма складывается из численности персонала, выбранного тарифа и того, нужны ли электронный архив с долговременным хранением и интеграция с учётной системой — актуальные тарифы сервиса Добыто помогут сориентироваться точнее. Тариф Бизнес поддерживает все три вида подписи и электронный архив, что важно как раз для проверки и хранения подписанных документов.
Выводы: проверка электронной подписи на документах ЭДО
Контур Диадок автоматически проверяет каждый входящий документ по четырём параметрам: целостность файла через хэш, срок действия сертификата на момент подписания, статус отзыва через CRL и OCSP, и цепочку доверия до корневого сертификата Минцифры. Всё это система делает фоном, без участия пользователя. Но автоматика отвечает только на технический вопрос — подпись математически верна. На юридический вопрос о полномочиях подписанта она не отвечает, поэтому МЧД и содержимое сертификата проверяют руками.
Штампик и плашка с подписью юридической силы не несут — это визуализация. Доказательством при споре служит первичный документ, файл подписи и протокол проверки. Для долговременного хранения обычной подписи мало: через несколько лет сертификат истечёт, и подпись перестанет проверяться, если заранее не добавить штамп времени, OCSP-ответы и архивную метку, то есть перейти на усовершенствованный формат CAdES. Отметку времени стоит закладывать с самого начала, а не когда архив уже собран.
В ближайшие годы проверка подписи будет всё больше уходить в автоматику на стороне операторов и в МЧД-реестр ФНС. Госключ и инфраструктура электронного правительства расширяют охват, и проверка статусов через государственные реестры станет нормой. Тем, кто настраивает ЭДО сейчас, имеет смысл сразу закладывать долговременное хранение и контроль полномочий, чтобы не переделывать процесс позже.
Часто задаваемые вопросы
Можно ли доверять зелёной галочке проверки подписи в Диадоке?
Что делать, если при проверке выходит ошибка «не найден корневой сертификат»?
Чем присоединённая подпись отличается от отсоединённой при проверке?
Зачем нужен штамп времени, если подпись и так проверяется?
Что такое усовершенствованная подпись и когда она нужна?
Имеет ли юридическую силу распечатка документа со штампом подписи?
Как проверяется МЧД при поступлении документа в ЭДО?
Что такое обезличенный сертификат и можно ли им подписывать любые документы?
Можно ли проверить подпись из Диадока в стороннем сервисе?
Где можно проверить сертификат электронной подписи бесплатно?
Проверка подписи на входящих документах — только верхушка работы с ЭДО. За ней стоит контроль полномочий, долговременное хранение и юридическая значимость каждого подписанного файла. В сервисе Добыто мы выстраиваем это так, чтобы кадровик или бухгалтер не разбирался вручную с цепочками сертификатов и реестром МЧД — система берёт техническую сверку на себя, а человеку остаётся видеть статус и заниматься делом.
За время работы мы подключили сотни компаний к КЭДО и ЭДО, от небольших организаций до распределённых компаний с тысячами сотрудников в разных регионах. Под каждый процесс — своя проверка подписи, маршрут согласования и хранение.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого документа в ЭДО и КЭДО
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия) и SAP — ставится за час без привлечения разработчиков
- Электронный архив с хранением документов до 50 лет — доступ сохраняется даже при расторжении договора с провайдером
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ
- Виджеты исполнительской дисциплины — видно, у кого заканчивается подпись и кто не подписал документ