Проверка отзыва сертификата электронной подписи — процедура, без которой ни один подписанный документ нельзя считать юридически значимым. Если сертификат отозван, а вы об этом не знали — все документы, подписанные после отзыва, теряют силу. В статье разберём конкретные способы проверки: через списки CRL, протокол OCSP, КриптоПро CSP и портал Госуслуг — с точными шагами и скриншотами интерфейсов. Тема тесно связана с общим вопросом проверки сертификата электронной подписи, где описана структура сертификата и базовые принципы верификации.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое отзыв сертификата электронной подписи и зачем его проверять
Отзыв сертификата ЭП — это процедура досрочного прекращения действия сертификата ключа проверки электронной подписи. После внесения сертификата в реестр отозванных все операции подписания с его использованием становятся юридически ничтожными. Проще говоря — подпись есть, а толку от неё ноль.
Статья 14 Федерального закона 63-ФЗ прямо устанавливает: сертификат ключа проверки ЭП прекращает действие, в том числе на основании заявления владельца. А статья 11 обязывает лицо, проверяющее ЭП, убедиться в действительности сертификата на момент подписания. Нюанс в том, что проверяющая сторона обязана не просто посмотреть срок действия серта — она должна убедиться, что он не отозван.
На практике кадровики и эйчары сталкиваются с этим постоянно. Сотрудник уволился, а его УКЭП формально действует ещё полгода. Или руководитель сменился, а старый сертификат никто не отозвал — и кто-то подписывает документы от лица компании. Или токен потеряли, а сертификат живёт своей жизнью. В каждом из этих случаев проверка отзыва — единственный способ понять, можно ли доверять подписи на документе.
Мария Ж, судебный эксперт по трудовому праву:
«В судебной практике мы регулярно видим ситуации, когда одна из сторон оспаривает документ именно по основанию отзыва сертификата. Суд запрашивает у удостоверяющего центра информацию о статусе сертификата на дату подписания — и если серт был отозван до момента подписи, документ признаётся недействительным. Тут нет полутонов.»
Причины отзыва сертификата электронной подписи
Перечень оснований для отзыва установлен статьёй 14 закона 63-ФЗ. Удостоверяющий центр обязан аннулировать сертификат при наличии хотя бы одного из них.
Заявление владельца — самая частая причина. Работник увольняется, меняет должность, теряет токен. В практике Добыто мы видим это в каждом втором проекте: при увольнении сотрудника кадровик забывает инициировать отзыв сертификата, и тот болтается в реестре как действующий. А ведь УКЭП — это личная собственность физлица, и работодатель не может принудительно её отозвать. Только сам владелец или его представитель по доверенности.
Компрометация ключа — вторая по частоте причина. Токен украли, скопировали контейнер с флешки, кто-то получил доступ к закрытому ключу. В этом случае каждая минута на счету: пока сертификат не отозван, злоумышленник подписывает документы от вашего имени.
Прекращение деятельности УЦ — более редкая ситуация, но она случается. Если аккредитованный удостоверяющий центр лишается аккредитации или ликвидируется, все выданные им сертификаты подлежат отзыву. Минцифры публикует реестр аккредитованных УЦ на портале e-trust.gosuslugi.ru, где можно проверить статус любого удостоверяющего центра.
Истечение срока УКЭП руководителя от УЦ ФНС (15 месяцев) — формально не отзыв, а истечение. Разница принципиальная: отзыв фиксирует конкретную дату прекращения до окончания срока. Ещё одна причина — изменение данных владельца: смена ФИО, ИНН, ОГРН. Старый сертификат содержит устаревшие данные и подлежит замене — фактически отзыв + перевыпуск.
Список отозванных сертификатов (CRL) — как работает проверка
CRL (Certificate Revocation List), или по-русски СОС (Список Отозванных Сертификатов) — это файл, который удостоверяющий центр публикует с определённой периодичностью. В нём перечислены серийные номера всех отозванных сертификатов и дата отзыва каждого из них.
Механика простая. УЦ формирует CRL-файл, подписывает его своей ЭП и размещает по определённому URL-адресу. Этот адрес прописан в каждом выданном сертификате — в расширении CRL Distribution Points. Любая программа, проверяющая подпись (КриптоПро CSP, КриптоАРМ, браузер), скачивает этот файл и ищет в нём серийный номер проверяемого сертификата. Нашла — серт отозван. Не нашла — серт действует.
Периодичность публикации CRL зависит от политики конкретного УЦ. Большинство аккредитованных удостоверяющих центров обновляют список раз в сутки. Некоторые — раз в неделю. УЦ ФНС публикует обновлённый CRL ежедневно. Из-за этого возникает временной зазор: если сертификат отозвали сегодня утром, а CRL обновится только завтра — в течение суток проверка по CRL покажет, что серт действует. Для критически важных операций этого недостаточно.
Мария Ж, специалист по цифровой подписи и КЭДО:
«На практике мы сталкиваемся с тем, что кадровики вообще не знают про СОС. Сидят, проверяют подпись — система показывает зелёную галочку, все довольны. А то, что CRL на машине не обновлялся три месяца, никого не волнует. Потом приходит проверка ГИТ, и выясняется, что документ подписан отозванным сертификатом.»
Обновление CRL на рабочей станции происходит автоматически — КриптоПро CSP скачивает актуальный список при каждой проверке подписи. Но если компьютер без доступа к сети или точка распространения CRL заблокирована файрволом — список не обновится. В менеджере сертификатов Windows есть кнопка ручного обновления СОС.
OCSP — проверка статуса сертификата в реальном времени
OCSP (Online Certificate Status Protocol) решает главную проблему CRL — задержку. Вместо скачивания файла целиком программа отправляет запрос к OCSP-серверу удостоверяющего центра: «Серийный номер такой-то — отозван или нет?» Сервер отвечает одним из трёх статусов: good (действителен), revoked (отозван), unknown (неизвестен).
Ответ приходит за секунды. Нет временного зазора, нет скачивания огромного файла. OCSP-ответ (ОЦСП-ответ) подписывается ключом УЦ и содержит точное время проверки. Это критически важно для усовершенствованной электронной подписи формата CAdES-T, CAdES-X Long Type 1 и CAdES-A (архивная подпись).
Усовершенствованная подпись включает в себя три компонента поверх базовой ЭП: штамп времени (TSP), набор ссылок на цепочку сертификатов и ОЦСП-ответ. Вместе они доказывают, что на момент подписания сертификат был действителен и не отозван — даже если проверка происходит через годы, когда сертификат давно истёк. Для долговременного хранения кадровых документов (а по закону некоторые хранятся до 50 лет) это единственный надёжный механизм.
В Добыто проверка статуса сертификата по OCSP выполняется при каждом подписании. Если OCSP-сервер УЦ недоступен — система блокирует подписание до восстановления связи. Подписать документ отозванным сертификатом в нашей системе технически невозможно.
Как проверить статус сертификата через КриптоПро CSP
КриптоПро CSP — основной криптопровайдер в России для работы с УКЭП. Проверить, отозван ли сертификат, можно прямо через его интерфейс.
Как проверить отзыв сертификата в КриптоПро CSP: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Откройте КриптоПро CSP: Пуск → Все программы → КРИПТО-ПРО → Управление сертификатами. Или наберите certmgr.msc в строке «Выполнить» (Win+R).
- Шаг 2. Перейдите в раздел «Личное» → «Сертификаты». Здесь отображаются все установленные персональные сертификаты.
- Шаг 3. Дважды кликните по нужному сертификату. Откроется окно свойств с тремя вкладками: «Общие», «Состав», «Путь сертификации».
- Шаг 4. Перейдите на вкладку «Путь сертификации». Если сертификат отозван, в поле «Состояние сертификата» отобразится: «Этот сертификат был отозван издателем». Если действует — «Этот сертификат действителен».
- Шаг 5. Для принудительного обновления CRL: откройте вкладку «Состав», найдите поле «Точки распространения списков отзыва (CRL)». Скопируйте URL и откройте его в браузере — файл CRL скачается автоматически. Установите его двойным кликом в хранилище «Промежуточные центры сертификации».
КриптоПро CSP проверяет статус при каждой операции подписания или верификации, если на машине настроен доступ к CRL-точке или OCSP-серверу. Для проверки подписи лицензия КриптоПро не требуется — это бесплатная функция. Устанавливаете CSP, открываете подписанный файл — и видите результат.
КриптоАРМ ГОСТ 3 тоже проверяет статус отзыва и формирует протокол в PDF. Лицензия для проверки не нужна — ставите программу и проверяете.
Образцы документов для работы с сертификатами ЭП
Открыть список документов
| Документ | Скачать |
|---|---|
| Памятка по настройке КЭП для налоговой | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Приказ о КЭДО | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Правила обработки персональных данных | Скачать |
| Криптографическая защита информации | Скачать |
| Примерная форма трудового договора | Скачать |
Проверка статуса сертификата на портале Госуслуг
Госуслуги предоставляют два способа проверки. Первый — через личный кабинет. Второй — через публичный сервис проверки ЭП.
В личном кабинете: перейдите в «Настройки и безопасность» → «Электронная подпись». Здесь отображаются все сертификаты, привязанные к вашей учётной записи — с указанием статуса (действует / истёк / отозван), издателя (УЦ), срока действия и серийного номера. Если сертификат отозван удостоверяющим центром, статус обновится в течение суток.
Через публичный сервис проверки: перейдите на gosuslugi.ru/pgu/eds, загрузите подписанный документ и файл подписи (.sig, .sgn, .p7s). Система проверит целостность документа, валидность подписи и статус сертификата — кто подписал, когда и действителен ли сертификат на текущую дату.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Госуслуги — хороший инструмент для разовой проверки. Но для кадровика, который обрабатывает десятки документов в день, каждый раз заходить на портал и вручную загружать файлы — это не рабочий процесс. Нужна автоматизация на стороне сервиса КЭДО, чтобы проверка статуса сертификата происходила в фоне, при каждом подписании.»
Онлайн-сервисы для проверки статуса сертификата ЭП
Помимо КриптоПро и Госуслуг, проверить отзыв сертификата можно через специализированные онлайн-сервисы. Вот основные.
КриптоПро DSS Verify (dss.cryptopro.ru/verify) — облачный сервис проверки ЭП. Загружаете файл и подпись — получаете протокол с информацией о статусе сертификата, цепочке доверия и штампах времени. Работает без установки CSP на компьютер.
Контур.Крипто (crypto.kontur.ru) — проверяет присоединённые и откреплённые подписи в формате CMS и CAdES. Показывает владельца, УЦ и статус отзыва.
Добыто.Подпись — сервис проверки и подписания документов с УКЭП, УНЭП и ПЭП. Проверяет статус сертификата по OCSP автоматически.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Проверка статуса сертификата вручную — процесс, который отнимает время и не исключает ошибок. В сервисе КЭДО Добыто проверка отзыва сертификата выполняется автоматически при каждом подписании: система обращается к OCSP-серверу удостоверяющего центра и блокирует операцию, если сертификат отозван. Кадровику не нужно проверять ничего вручную.
Как отозвать сертификат электронной подписи — порядок действий
Отзыв сертификата инициирует его владелец. Работодатель этого сделать не может — УКЭП принадлежит физическому лицу, и только оно (или его представитель по нотариальной доверенности) вправе подать заявление на отзыв.
Для сертификатов, выданных УЦ ФНС: владелец обращается в любую налоговую инспекцию с паспортом и пишет заявление на отзыв. В течение 12 часов сертификат вносится в реестр отозванных. Обновлённый CRL публикуется в тот же день.
Для сертификатов из коммерческих аккредитованных УЦ: порядок аналогичный, но обращаться нужно в тот УЦ, который выдавал сертификат. Некоторые УЦ принимают заявления дистанционно — через личный кабинет на сайте. В среднем отзыв занимает от 2 до 24 часов.
Удаление сертификата с компьютера или токена — это не отзыв. Серт остаётся в реестре действующих до тех пор, пока УЦ не внесёт его в CRL. Мы в Добыто видели случаи, когда сотрудник стирал серт с флешки и считал, что отозвал подпись. А сертификат спокойно жил ещё 9 месяцев до окончания срока действия.
Мария Ж, юрист со стажем более 20 лет:
«Типичная ошибка при увольнении: кадровик забирает токен у сотрудника и думает, что вопрос закрыт. Но сертификат-то не отозван. Если у кого-то осталась копия контейнера с извлекаемым ключом — он подписывает документы от имени бывшего сотрудника. Правильный порядок: забрать токен, проинформировать сотрудника о необходимости отозвать сертификат, зафиксировать это в акте.»
Последствия использования отозванного сертификата
Документ, подписанный отозванным сертификатом, юридически ничтожен. Закон 63-ФЗ однозначен: ЭП считается действительной, только если сертификат ключа проверки действовал на момент подписания (либо на момент подписания имеются доказательства действительности — штамп времени и ОЦСП-ответ).
В судебной практике это работает так: суд запрашивает у удостоверяющего центра выписку из реестра отозванных сертификатов. Если дата отзыва раньше даты подписания документа — документ недействителен. Прецеденты есть. Был кейс с банком, когда суд признал увольнение незаконным именно потому, что работодатель не смог доказать действительность сертификата на дату подписания приказа — отсутствовали штамп времени и ОЦСП-ответ.
Для КЭДО это критично: если система не проверяет отзыв автоматически, риск подписания недействительной подписью реален. При проверке ГИТ инспектор запрашивает электронные документы вместе с файлами подписей — и если хотя бы один подписан отозванным сертификатом, это штраф по ст. 5.27 КоАП.
Мария Ж, HR-эксперт с 13-летним стажем:
«В наших проектах мы закладываем автоматическую проверку OCSP на каждом этапе маршрута подписания. Если сертификат сотрудника отозван или истёк — система не даст ему подписать документ и уведомит кадровика. За все время работы ни один документ, подписанный через Добыто, не был признан недействительным из-за проблем со статусом сертификата.»
Стоимость услуг проверки и выпуска сертификатов ЭП в 2026 году
Стоимость работы с ЭП зависит от типа подписи, выбранного УЦ и сервиса КЭДО. Вот актуальные расценки на 2026 год.
| Тариф / Услуга | Стоимость | Условия |
|---|---|---|
| Добыто КЭДО — тариф Старт | от 30 ₽ за сотрудника / мес | До 25 сотрудников |
| Добыто КЭДО — тариф Бизнес | от 50 ₽ за сотрудника / мес | Неограниченно сотрудников, минимум 50 |
| Добыто КЭДО — тариф Корпорация | По запросу | Выделенный сервер, SLA 99.9% |
| ПЭП и УНЭП для сотрудников | Бесплатно | Входит во все тарифы |
| УКЭП руководителя (УЦ ФНС) | Бесплатно | Срок действия 15 месяцев |
| Проверка ЭП онлайн (Добыто.Подпись) | Бесплатно | Без ограничений |
На тарифе Бизнес минимальная оплата — 30 000 ₽/год за 50 сотрудников. ПЭП и УНЭП для сотрудников входят в стоимость на всех тарифах. Подробности и калькулятор — на странице актуальных тарифов Добыто.
Усовершенствованная подпись и долговременное хранение: зачем нужен OCSP-ответ в архиве
Кадровые документы хранятся годами. Трудовой договор — 50 лет (по Перечню Росархива). Приказ о приёме — тоже 50 лет. Срок действия УКЭП — 1 год. Как через 10 лет доказать, что сертификат был действителен на дату подписания?
Ответ — усовершенствованная подпись. В формате CAdES-X Long Type 1 к базовой подписи добавляются штамп времени (TSP) и ОЦСП-ответ. Штамп времени фиксирует момент подписания с точностью до секунды. ОЦСП-ответ подтверждает, что сертификат не был отозван на этот момент. Оба элемента подписаны доверенным сервером и имеют собственные сроки проверяемости.
По данным КриптоПро, сертификат TSP сохраняет проверяемость до 18 лет. Для документов с более длительным сроком хранения используется формат CAdES-A (архивная подпись): поверх первой метки времени накладывается новая, продлевающая проверяемость ещё на 15-18 лет. Этот процесс называется «ухаживание за электронной подписью» — он требует регулярного мониторинга архива.
В практике Добыто мы рекомендуем клиентам формировать усовершенствованные подписи для всех кадровых документов с длительными сроками хранения. Это снимает вопрос проверки отзыва сертификата через 5, 10 или 20 лет: ОЦСП-ответ уже зашит внутри подписи.
Мария Ж, специалист по КЭДО и электронным архивам:
«Мы видим, что многие компании подписывают трудовые договоры базовой ЭП без штампа времени и ОЦСП. А потом через 3 года приходит проверка, сертификат давно истёк, проверить подлинность подписи невозможно. С усовершенствованной подписью этой проблемы нет — все доказательства зашиты в файл.»
Выводы: проверка отзыва сертификата электронной подписи
Проверка отзыва сертификата ЭП — обязательный этап верификации любого электронного документа. Закон 63-ФЗ прямо требует убедиться в действительности сертификата на момент подписания. Два основных механизма проверки — списки CRL (обновляются с задержкой до суток) и протокол OCSP (работает в реальном времени). Для повседневной работы кадровика достаточно проверки через КриптоПро CSP или сервис КЭДО с автоматической OCSP-проверкой. Для разовой верификации — портал Госуслуг или онлайн-сервисы КриптоПро DSS и Контур.Крипто.
Отзыв сертификата инициирует только его владелец через заявление в УЦ. Удаление сертификата с компьютера или токена не равно отзыву. При увольнении сотрудника кадровик должен зафиксировать процедуру отзыва в акте и проинформировать сотрудника. Документ, подписанный после отзыва сертификата, не имеет юридической силы — это подтверждается судебной практикой и проверками ГИТ.
Для долговременного хранения кадровых документов (50 лет и более) рекомендуется использовать усовершенствованную подпись формата CAdES-X Long Type 1 или CAdES-A, содержащую встроенный ОЦСП-ответ и штамп времени. Это единственный способ подтвердить действительность подписи спустя годы после истечения срока сертификата.
Часто задаваемые вопросы
Что такое CRL и чем он отличается от OCSP?
Можно ли проверить отзыв сертификата без установки КриптоПро?
Как быстро сертификат попадает в список отозванных после заявления?
Может ли работодатель отозвать УКЭП уволенного сотрудника?
Удаление сертификата с компьютера равносильно отзыву?
Что происходит с документами, подписанными до отзыва сертификата?
Где посмотреть точку распространения CRL в сертификате?
Что такое усовершенствованная подпись и зачем в ней OCSP-ответ?
Нужна ли лицензия КриптоПро для проверки подписи и статуса сертификата?
Как проверить, не отозван ли сертификат контрагента перед подписанием договора?
Что делать, если при проверке подписи система показывает ошибку CRL?
Можно ли восстановить отозванный сертификат?
Проверка отзыва сертификата — процесс, который кадровик не должен выполнять вручную. Сервис КЭДО Добыто автоматически проверяет статус каждого сертификата по OCSP при подписании, блокирует подписание отозванными или просроченными сертификатами и формирует усовершенствованные подписи с встроенными доказательствами для долговременного хранения.
Более 500 компаний уже работают с Добыто КЭДО. Проверка статуса сертификатов настраивается на этапе внедрения — кадровик работает спокойно, система контролирует валидность подписей в фоне.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Автоматическая проверка статуса сертификата по OCSP при каждом подписании
- Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия), SAP и Boss-Кадровик — ставится за час без привлечения разработчиков
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора с провайдером
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному