Проверка подписи КриптоПро Browser Plug-in в браузерах 2026

Проверка подписи через КриптоПро ЭЦП Browser Plug-in — процедура, которая подтверждает работоспособность связки криптопровайдер плюс плагин плюс расширение в конкретном браузере и снимает 80 процентов вопросов в духе «почему подпись не работает на Госуслугах». Без корректной проверки плагина любая попытка подписать кадровый документ, отправить отчёт в ФНС или авторизоваться в личном кабинете госоргана упирается в ошибку без понятной причины. Разберём, как пройти диагностику на официальной демо-странице КриптоПро, чем отличается настройка расширения в Chrome, Яндекс.Браузере, Edge и Firefox, какие коды ошибок встречаются чаще всего и как их закрывать. Это часть большого материала про проверку электронной подписи, где описан общий порядок процедуры и набор инструментов проверяющего.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Содержание

Автор статьи

Мария Ж.

Кофаундер сервиса электронного документооборота Добыто

Кофаундер сервиса электронного документооборота Добыто. Юрист с 20 летней практикой. В 2008 году получала красный диплом юриста по корпоративной практике. Руководитель HR-отдела. Спикер на конференциях по КЭДО и юриспруденции.

Зачем нужна проверка подписи через КриптоПро ЭЦП Browser Plug-in

КриптоПро ЭЦП Browser Plug-in (далее — плагин) проверяет и формирует электронную подпись прямо в окне браузера, без выгрузки файла на отдельный криптоклиент. Кадровик подписывает приказ о приёме в кабинете сотрудника КЭДО, бухгалтер сдаёт расчёт по страховым взносам в ЛК ФНС, юрист сверяет действительность УКЭП на документе из суда — все эти сценарии так или иначе ходят через CAdES Browser Plug-in. Если плагин не зарегистрирован или конфликтует с криптопровайдером, ни один из них не отрабатывает.

Проверка нужна не один раз при установке, а регулярно. Браузер обновился, антивирус почистил расширения, IT-служба раскатила новый профиль на ноутбук — и крипто-плагин внезапно перестал отвечать. На текущий момент мы фиксируем такие сбои чаще всего после массовых обновлений Chromium и Firefox. По нашей практике в сервисе Добыто, при подключении новой компании к КЭДО мы закладываем в чек-лист отдельный пункт «проверка плагина на рабочих местах подписантов» — без него внедрение тормозится на этапе пилота.

Проверка плагина — это не один шаг, а небольшая последовательность. Сначала смотрим, установлен ли криптопровайдер. Потом — сам плагин. Потом — расширение в конкретном браузере. И только в конце — тестовая подпись на демо-странице. Если пропустить любой из этих этапов, диагностика будет неточной: ошибка одного компонента маскируется под ошибку другого, и пользователь крутится по кругу.

Мария Ж, специалист по цифровой подписи и КЭДО:
«Когда сотрудник у клиента жалуется, что ‘подпись не работает на госуслугах’, первое, что я прошу сделать — открыть демо-страницу плагина и попробовать там тестовую подпись. Если на демо подпись формируется — значит, плагин и крипта в порядке, проблема в конкретном веб-сервисе. Если не формируется — дальше шариться по окнам менеджера сертификатов и переустанавливать криптопровайдер. Без этого шага можно полдня биться в стену и не понимать, где косяк.»

Из чего состоит схема проверки: плагин, расширение и КриптоПро CSP

Часто в чате просят «переустановить плагин» — и человек ставит cadesplugin.exe с нуля. А корень проблемы в другом компоненте. Чтобы понимать, что именно проверяется, разберёмся в трёх частях системы.

Первое — криптопровайдер КриптоПро CSP. Он делает саму криптографию: хэширует документ по ГОСТ Р 34.11-2012, подписывает хэш закрытым ключом, проверяет открытым. На 2026 год актуальна версия 5.0 R3. Если CSP не установлен или версия младше 4.0 — подпись физически не сформируется, плагин не виноват.

Второе — сам плагин КриптоПро ЭЦП Browser Plug-in. Это связующее звено между веб-страницей и CSP. Веб-страница вызывает JS-функции плагина, плагин передаёт запрос в CSP, получает обратно подпись и возвращает её странице в формате CAdES (CAdES-BES, CAdES-T или CAdES-X Long Type 1). Плагин ничего не подписывает сам — он только посредник.

Третье — браузерное расширение. У каждого браузера своё: для Chrome и Яндекс.Браузера это «CryptoPro Extension for CAdES Browser Plug-in» из Chrome Web Store, для Edge — аналогичное расширение из Microsoft Edge Add-ons, для Firefox — .xpi-файл с сайта cryptopro.ru. Расширение даёт браузеру право обращаться к плагину. Без активного расширения браузер просто не видит, что плагин установлен в системе.

Получается трёхзвенная цепочка: веб-страница — расширение — плагин — CSP. И ломаться может любое звено. Поэтому диагностика всегда идёт сверху вниз: сначала проверяем расширение в браузере, потом плагин, потом CSP. На демо-странице КриптоПро эта проверка как раз и идёт последовательно по трём пунктам.

Подготовка системы перед проверкой плагина

Прежде чем гонять тесты в браузере, проверяем фундамент — криптопровайдер. Открываем «Панель управления — КриптоПро CSP» (на Windows) или утилиту КриптоПро PKI в Linux/macOS. Смотрим версию. Если стоит 4.0 или ниже — однозначно обновлять до 5.0 R3. У старых версий нет поддержки актуальных алгоритмов ГОСТ Р 34.10-2012 в полном объёме, и часть подписей не пройдёт даже на правильно настроенном плагине.

Лицензия на CSP должна быть либо платная, либо триальная (срок до 90 дней с момента установки). Бесплатной CSP не бывает — после окончания триала подпись перестаёт формироваться, хотя визуально CSP установлен. На корпоративных машинах часто стоит CSP с привязкой к токену — в этом случае токен должен быть подключён, иначе CSP «не видит» свою лицензию.

Дальше проверяем сам плагин. Скачиваем дистрибутив только с официального сайта cryptopro.ru, раздел products/cades/plugin. Файл называется cadesplugin.exe для Windows, cprocsp-pki-cades.dmg для macOS, .deb или .rpm пакет для Linux. Размер дистрибутива на Windows порядка 25 мегабайт — если скачали что-то значительно меньше или больше, скорее всего попали на левый сайт, перекачивайте.

На Windows для установки нужны права администратора — на корпоративном ноутбуке без них не получится. CSP должен стоять до плагина, иначе плагин поставится, но работать не будет. После установки плагина обязательна перезагрузка браузеров, иначе расширение не зарегистрируется в открытых сессиях.

Образцы документов для работы с электронной подписью и кадровым ЭДО

Открыть список документов

Документ	Скачать
Памятка по настройке КЭП для налоговой	Скачать
Ответы на вопросы об установке ЭЦП	Скачать
Инструкция по установке ЭЦП на компьютер	Скачать
Руководство пользователя Добыто КЭДО	Скачать
Приказ о введении КЭДО (образец)	Скачать
Приказ о КЭДО	Скачать
Шаблон соглашения по ЭДО	Скачать
Образец приказа о приёме на работу	Скачать
Образец личной карточки работника	Скачать
Примерная форма трудового договора	Скачать

Демо-страница КриптоПро: первый шаг проверки

На сайте cryptopro.ru есть диагностическая страница cades_bes_sample.html в разделе products/cades/plugin/demopage. Это эталонный тест плагина: страница проверяет три компонента — расширение в браузере, плагин на компьютере и КриптоПро CSP. На каждом шаге выводит зелёную галочку «OK» или красное сообщение об ошибке. Через минуту вы точно знаете, на каком уровне проблема.

Открываем страницу в том браузере, где собираемся работать. Если плагин активен — в верхней части страницы появляется блок «Информация о CSP» с версией криптопровайдера и списком установленных провайдеров (CryptoPro CSP, CryptoPro GOST R 34.10-2012, и так далее). Если плагин не отвечает — страница висит со словами «Загрузка плагина» или прямо говорит «Плагин не загружен».

Дальше на странице есть текстовое поле и кнопка «Подписать». Вписываем любой тестовый текст (например, «тест 12345»), выбираем сертификат из выпадающего списка, нажимаем кнопку. Через 1-2 секунды плагин запросит ПИН-код контейнера (если ключ на токене — «флешке» с сертификатом), сформирует подпись и покажет её в base64-формате прямо на странице. Появилась подпись — плагин работает корректно. Не появилась, выскочила ошибка с кодом — читаем код и идём в раздел диагностики.

Демо-страница — это реальный инструмент локализации проблем. Когда мы в Добыто помогаем клиенту с проблемным рабочим местом, всегда начинаем с неё. Если демо проходит — ищем причину в конкретном веб-сервисе (плагин режется CSP-политикой сайта, расширение блокируется на корпоративном прокси, в кабинете не закэширован сертификат). Если демо не проходит — копаем дальше: расширение, плагин, CSP по очереди.

Проверка плагина в Google Chrome

Chrome — самый частый браузер у российских компаний на текущий момент, в нём же чаще всего встречаются нюансы с расширением плагина. Открываем chrome://extensions в адресной строке. В списке должно быть расширение «CryptoPro Extension for CAdES Browser Plug-in». Если его нет — идём в Chrome Web Store и ищем по названию или по идентификатору расширения pfhgbfnnjiafkhfdkmpiflachepdcjod. Ставим, разрешаем работу.

Переключатель должен стоять в положении «Включено» (синий цвет). Если расширение установлено, но переключатель серый — кликаем, активируем. После активации в правом верхнем углу появляется иконка плагина в форме перечёркнутого окружности с буквой «C» внутри. Если иконка перечёркнута красным — плагин видит CSP, но не активирован для конкретного сайта. Кликаем по иконке и разрешаем доступ к нужному домену (например, к Госуслугам, ЛК ФНС, кабинету сотрудника КЭДО).

Дополнительная настройка для Chrome — флаг «Разрешить доступ к URL-адресам файлов» в настройках расширения. Включаем его, если планируем подписывать локальные PDF или другие файлы с диска. Без этого флага Chrome будет блокировать доступ плагина к file:// схеме.

Проверяем результат на демо-странице. Иногда после установки расширения нужна перезагрузка Chrome — закрыть все окна, дождаться выхода фоновых процессов через диспетчер задач, открыть заново. Если демо проходит — Chrome настроен. Если нет — смотрим консоль разработчика (F12 — Console), там плагин обычно выводит причину отказа: блокировка по CSP-политике, конфликт с другим расширением, отсутствие криптопровайдера.

Проверка плагина в Яндекс.Браузере

Яндекс.Браузер на ГОСТ-сертификатах работает стабильнее остальных Chromium-браузеров. Причина в том, что Яндекс встроил в браузер собственный модуль работы с КриптоПро — и плагин ставится автоматически вместе с дистрибутивом cadesplugin.exe, отдельно ничего скачивать не нужно. После установки плагина перезапускаем Яндекс.Браузер, и расширение появляется в browser://extensions.

Если расширения там нет — заходим в «Настройки — Дополнения — Каталог расширений», вбиваем в поиске «CryptoPro Extension». Включаем, перезагружаем браузер. Иногда расширение есть, но не активно — значит, после установки плагина браузер не перезапустили, и регистрация не прошла. Закрываем все вкладки, ждём, пока процесс browser.exe завершится в диспетчере задач, открываем заново.

В Яндекс.Браузере есть встроенная защищённая среда подписания (так называемый Protect-режим). Если он включён — плагин может работать с задержкой или вовсе не отвечать на конкретных сайтах. Проверяем в «Настройки — Безопасность — Расширенные настройки»: если включён «Защищённый режим подписания», по нашему опыту часть кадровых сервисов (особенно on-premise) ругаются на отсутствие плагина. Решение — временно отключить Protect-режим, проверить подпись, и если всё работает — добавить нужный домен в исключения.

Демо-страница в Яндекс.Браузере проходит обычно с первого раза, если CSP стоит и расширение активно. Версия CSP должна быть 5.0 R3, у Яндекса с младшими версиями бывают конфликты совместимости.

Проверка плагина в Microsoft Edge

Edge на базе Chromium с 2022 года. Старая версия Edge (Edge Legacy) плагином не поддерживалась и снята с обслуживания, проверять там нечего. На современном Edge схема та же, что в Chrome: открываем edge://extensions, ставим расширение CryptoPro Extension из Microsoft Edge Add-ons (отдельный магазин, не Chrome Web Store).

Расширение в Edge называется так же, иконка та же. После установки активируем переключатель, разрешаем доступ к нужным сайтам. Edge на корпоративных машинах часто работает в режиме «Работа» с групповыми политиками — в этом случае установка расширения может быть запрещена политикой Active Directory. Если Edge ругается «Расширение заблокировано администратором» — идём к IT-службе с заявкой на разрешение по идентификатору расширения.

На Edge есть нюанс с режимом IE-совместимости. Некоторые корпоративные веб-приложения вынуждают Edge открывать страницу через встроенный движок Internet Explorer. На такой странице расширение Chromium-Edge не работает — вместо него нужен ActiveX-компонент КриптоПро для IE. Если попали в такой кейс, проверяем, что в Edge установлен и активен и тот, и другой компонент: расширение для Chromium-режима и плагин IE для режима совместимости.

Демо-страница cades_bes_sample.html в Edge проходит без отдельных настроек, если установлен CSP 5.0 R3 и активно расширение. По нашей практике в Добыто, Edge на крупных предприятиях (от 1000 рабочих мест) подключается медленнее, чем Chrome или Яндекс — именно из-за политик безопасности. Закладывайте лишний день на согласование с безопасниками.

Проверка плагина в Mozilla Firefox

Firefox — самый отдельный случай. У Firefox своя архитектура расширений (WebExtensions), и расширение для Chrome туда не подойдёт. Качаем .xpi-файл с сайта cryptopro.ru, раздел products/cades/plugin/firefox. Открываем Firefox, переходим на about:addons, в шестерёнку — Установить дополнение из файла, выбираем .xpi. Подтверждаем установку, перезагружаем браузер.

На Linux в Firefox плагин подхватывается только при явной регистрации через WebExtensions — иначе расширение установится, но не сможет вызвать плагин из системы. На macOS бывает запрос на разрешение в «Системных настройках — Защита и безопасность», без подтверждения которого плагин не работает. На Windows проблем меньше, но и там после установки расширения нужно перезапустить Firefox через диспетчер задач, иначе регистрация плагина не пройдёт.

Firefox исторически медленнее остальных браузеров реагирует на запрос подписи — 3-5 секунд против 1-2 в Chrome. Это нормально, не паникуем и не переустанавливаем плагин. Если демо-страница в Firefox показала ошибку «Плагин не установлен» при том, что в системе он явно есть — идём в about:config и проверяем флаг security.osclientcerts.autoload (на новых версиях Firefox он влияет на работу с CSP-сертификатами).

Когда мы в Добыто помогаем клиенту настроить КЭДО на парке смешанных браузеров, Firefox всегда тянет на себя 30-40 процентов времени диагностики. Поэтому, если у вас есть выбор между Chrome/Яндекс и Firefox — на этапе пилота берите Chromium-семейство, а Firefox разверните на тех машинах, где это требование IT-политики.

Если плагин ругается на ошибку, демо-страница висит, а сотрудник второй час не может подписать кадровый документ — нужен внешний взгляд. В Добыто КЭДО мы настраиваем плагины и расширения на типовых конфигурациях клиента, разворачиваем тестовый стенд для пилота и обучаем администраторов и пользователей. Это экономит компании дни самостоятельной диагностики.

Попробуйте ДОБЫТО КЭДО

Пошаговая инструкция: проверка КриптоПро Browser Plug-in за 5 минут

Показать пошаговую инструкцию

Шаг 1. Откройте «Панель управления — КриптоПро CSP» и убедитесь, что версия 4.0 или выше (актуально 5.0 R3 на 2026 год). Лицензия активна, токен с подписью подключён.
Шаг 2. Откройте раздел расширений в браузере: chrome://extensions, browser://extensions, edge://extensions или about:addons. Найдите CryptoPro Extension for CAdES Browser Plug-in. Включите переключатель.
Шаг 3. Перейдите на демо-страницу cryptopro.ru/sites/default/files/products/cades/demopage/cades_bes_sample.html. Дождитесь загрузки блока «Информация о CSP» в верхней части.
Шаг 4. Введите тестовый текст в поле «Данные для подписи». Выберите сертификат из выпадающего списка. Нажмите «Подписать». При запросе введите ПИН контейнера.
Шаг 5. Через 1-2 секунды плагин выведет подпись в base64-формате. Если подпись отображается — плагин работает корректно. Если выскочила ошибка — запишите код и переходите к диагностике в разделе ошибок.

Типичные ошибки при проверке плагина и способы их устранения

Список повторяющихся ошибок небольшой, но именно они забирают у пользователей часы. Разберём по порядку, что реально встречается и как закрывать.

Ошибка 0x8007064A (Лицензия CSP истекла). Плагин рапортует, что подпись не сформирована из-за CSP. Открываем «КриптоПро CSP — Общие» и смотрим срок действия лицензии. Если истёк триал — покупаем коммерческую лицензию или продлеваем триальную (в 2026 году это уже не везде получается). Без активной лицензии CSP подпись не работает, плагин здесь ни при чём.

Ошибка «Плагин не загружен» на демо-странице. Расширение установлено, но не активно или не зарегистрировано. Идём в раздел расширений браузера, проверяем переключатель. Если переключатель включён, но плагин всё равно не виден — переустанавливаем плагин, перезагружаем компьютер целиком (не только браузер), пробуем снова.

Ошибка «Не удалось создать подпись» с кодом 0x80090010. Доступ к закрытому ключу запрещён. Чаще всего причина — неверный ПИН-код контейнера или закрытка лежит на токене, который не подключён физически. Подключаем токен, повторяем подпись. Если ПИН вводится правильно, но всё равно ошибка — сертификат, скорее всего, истёк, и закрытый ключ помечен системой как недействительный.

Конфликт с антивирусом. Касперский и ESET периодически блокируют плагин, считая его обращение к закрытому ключу подозрительным. В журнале антивируса будет запись о блокировке cadesplugin.exe или cadesutil.exe. Решение — добавить процессы в исключения. На время диагностики можно отключить антивирус совсем, но в продуктиве так не оставляйте.

Расширение блокируется групповой политикой. На корпоративных машинах в Active Directory админ может запретить установку расширений вне белого списка. Edge и Chrome покажут «Расширение заблокировано администратором». Решение только одно — идти к айтишникам с идентификатором расширения и просить включить в политику. Сами обойти политику не пытайтесь, это нарушение внутреннего регламента.

Сайт блокирует плагин по CSP (Content Security Policy). На некоторых корпоративных сайтах прописана жёсткая Content Security Policy, которая запрещает обращения к плагинам. В консоли разработчика (F12) увидите сообщение про блокировку cryptopro://. Чинится только на стороне сайта — админ должен добавить разрешение в CSP-заголовок. Самостоятельно у пользователя ничего не получится.

Мария Ж, юрист со стажем более 20 лет:
«По 63-ФЗ юридическая значимость УКЭП подтверждается, в том числе, корректной проверкой при подписании. Если плагин не отработал и сотрудник ‘подписал документ’ через какой-то обходной путь — в суде эту подпись могут признать недействительной. Поэтому проверка плагина перед каждой массовой подписью — это не айтишная блажь, а юридическая необходимость. Особенно для документов, которые потом могут попасть в трудовой спор.»

Стоимость подключения и сопровождения КЭДО Добыто

Когда плагин и расширение в браузере проверены, и компания готова к массовому подписанию кадровых документов — возникает следующий вопрос, сколько это стоит на платформе КЭДО. Стоимость складывается из тарифа сервиса (зависит от численности штата), вида ЭП и набора подключаемых модулей. Подписи ПЭП и УНЭП для сотрудников выпускаются бесплатно в рамках тарифа.

Тариф / Услуга	Стоимость	Условия
Тариф «Старт»	от 30 ₽ за сотрудника / мес	До 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка
Тариф «Бизнес»	от 50 ₽ за сотрудника / мес	Минимальная оплата 50 сотрудников за 30 000 ₽ в год, ПЭП/УНЭП/УКЭП, интеграция с 1С, электронный архив
Тариф «Корпорация»	По запросу	Выделенный сервер, SLA 99.9%, персональный менеджер, API и кастомные интеграции
Электронные подписи (ПЭП, УНЭП)	Включены в тариф	Без отдельной оплаты для сотрудников

Итоговая сумма зависит от численности персонала, выбранного тарифа и состава подключаемых модулей. На странице с актуальными тарифами Добыто КЭДО можно посмотреть полный список входящих опций по каждому тарифу и оставить заявку на расчёт под параметры конкретной компании.

Особенности проверки плагина на корпоративных машинах

На домашнем компьютере проверка плагина занимает 5 минут. На корпоративном ноутбуке всё иначе — тут вступают групповые политики, прокси, антивирус с централизованным управлением, ограничения на установку ПО, права пользователя без админских. Каждая такая преграда добавляет полчаса к диагностике.

Перед массовой раскаткой плагина по парку машин делаем пилот на 5-10 рабочих местах разных подразделений: бухгалтер, кадровик, IT-шник, рядовой менеджер. Если на всех плагин и расширение проходят демо-страницу — идём в массовое внедрение. Если хоть на одной демо ломается — разбираемся в специфике и закладываем это в инструкцию для остальных.

Грабли при массовом внедрении часто в том, что у разных пользователей стоят разные браузеры по умолчанию. Нюанс: для каждого браузера расширение ставится отдельно, общего «включил один раз для всех» нет. На пилоте лучше ограничить корпоративный стандарт одним браузером — раскатка идёт втрое быстрее. В практике Добыто при подключении компании от 200 человек мы закладываем 3-5 рабочих дней только на проверку плагинов на стороне клиента — это страховка от того, что в день старта КЭДО половина сотрудников не сможет подписать первое заявление.

Когда плагин КриптоПро не нужен и есть альтернатива

Не каждой компании надо проходить чехарду с плагином, расширением и CSP. Для подписания внутренних кадровых документов ПЭП и УНЭП, выпущенной самим работодателем на стороне сервиса, плагин не нужен. Сотрудник заходит в кабинет КЭДО через браузер или мобильное приложение, нажимает «Подписать», вводит код из SMS — и подпись готова.

Плагин КриптоПро нужен в трёх случаях: первый — когда документ подписывается УКЭП с токена (рутокена, JaCarta) на стороне сотрудника или работодателя; второй — когда работа идёт с госпорталами (ФНС, СФР, портал работа в России); третий — когда работодатель выдаёт сотрудникам УНЭП на физическом носителе. В остальных сценариях УНЭП «выпускается на борту» сервиса КЭДО — и плагин с расширением не требуются. Если стоит задача подобрать инструмент для подписания документов вне браузера, помогут специализированные программы для подписания документов ЭЦП с поддержкой токенов и облачных подписей.

Для типового КЭДО на 100-500 сотрудников схема обычно такая: руководитель компании подписывает УКЭП с токена через плагин (тут нужна вся настройка), линейные сотрудники подписывают УНЭП в мобильном приложении или в веб-кабинете (плагин не нужен). За счёт этого парк настроек плагина сокращается до 5-10 рабочих мест вместо 500. Подробности можно посмотреть на сайте Минтруда России mintrud.gov.ru в разделах, посвящённых электронному кадровому документообороту, и в письме Минтруда от 29.03.2023 № 14-6/ООГ-2314 о ведении КЭДО.

Мария Ж, соучредитель сервиса КЭДО Добыто:
«Когда мы внедряем КЭДО у клиента на 1000+ сотрудников, проверку плагина КриптоПро делаем только на топ-менеджменте и ключевых кадровиках — там, где УКЭП. Линейный персонал подписывает УНЭП с пуш-уведомлением в мобильном приложении, и плагин им вообще не нужен. Это сильно упрощает раскатывание — не надо настраивать 1000 рабочих мест, надо настроить 15-20.»

Выводы: проверка плагина КриптоПро в браузерах

Плагин КриптоПро ЭЦП Browser Plug-in — связующее звено между веб-страницей и криптопровайдером, и проверка его работоспособности должна идти последовательно по трём уровням: расширение в браузере, сам плагин на компьютере, КриптоПро CSP. Демо-страница cades_bes_sample.html на cryptopro.ru закрывает всю эту проверку за минуту — именно с неё стоит начинать любую диагностику. На 2026 год актуальная связка для стабильной работы — КриптоПро CSP версии 5.0 R3 плюс свежий cadesplugin.exe плюс активное расширение в браузере.

В каждом браузере свои нюансы настройки. Chrome и Edge идут через свои магазины расширений и требуют разрешения по конкретному домену. Яндекс.Браузер ставит расширение автоматически вместе с плагином, но имеет встроенный Protect-режим, который иногда конфликтует с плагином. Firefox требует .xpi-файл с сайта КриптоПро, на macOS и Linux — дополнительные шаги регистрации. На корпоративных машинах закладывайте отдельное время на согласование с IT-службой и проверку групповых политик.

Если в компании КЭДО построено на УНЭП в мобильном приложении — плагин нужен только нескольким топ-сотрудникам, подписывающим документы с УКЭП. Это сильно сокращает парк настроек и упрощает поддержку. Перед массовой раскаткой плагина обязательно делайте пилот на 5-10 рабочих местах разных подразделений — это страховка от того, что в день старта половина пользователей не сможет подписать первый документ.

Часто задаваемые вопросы

Где находится демо-страница КриптоПро ЭЦП Browser Plug-in?

Официальная демо-страница располагается на сайте cryptopro.ru по пути /sites/default/files/products/cades/demopage/cades_bes_sample.html. Страница последовательно проверяет три компонента: расширение в браузере, плагин на компьютере и КриптоПро CSP. Открывать её нужно в том браузере, где собираетесь работать с подписью — результаты проверки в разных браузерах могут различаться.

Какая версия КриптоПро CSP нужна для работы плагина в 2026 году?

На 2026 год актуальна версия 5.0 R3 — в ней есть полная поддержка ГОСТ Р 34.10-2012, ГОСТ Р 34.11-2012 и совместимость со всеми Chromium-браузерами и Firefox последних версий. Минимально допустимая версия — 4.0, но на ней встречаются конфликты с новыми сертификатами УКЭП. Версии младше 4.0 не поддерживаются плагином, обновляйте обязательно. Лицензия CSP должна быть активна, иначе плагин не сможет сформировать подпись.

Можно ли установить плагин на компьютер без прав администратора?

Нет, на Windows для установки cadesplugin.exe нужны права локального администратора. На корпоративном ноутбуке без них установка завершится с ошибкой. Решение — заявка в IT-службу с просьбой развернуть плагин из централизованного дистрибутива через групповую политику. Расширение в браузере, в отличие от плагина, обычно ставится без админских прав, но может быть заблокировано отдельной политикой Active Directory.

Чем отличаются форматы CAdES-BES, CAdES-T и CAdES-X Long Type 1?

CAdES-BES — базовый формат, фиксирует факт подписания, но не содержит метку времени и подтверждения статуса сертификата. Подходит для оперативного документооборота. CAdES-T — тот же формат плюс штамп времени от доверенной службы (например, у ФНС или у удостоверяющего центра). Подтверждает момент подписания. CAdES-X Long Type 1 — дополнительно содержит ссылки на сертификаты и OCSP-ответы (подтверждение, что сертификат не отозван на момент подписания). Используется для долгосрочного архивного хранения документов.

Что делать, если демо-страница говорит «Плагин не загружен»?

Сначала проверяем, активно ли расширение в разделе расширений браузера. Если расширение активно, но плагин не виден — перезагружаем компьютер целиком, не только браузер. Часто помогает деинсталляция и повторная установка плагина в правильном порядке: сначала ставим CSP, потом перезагружаемся, потом ставим cadesplugin.exe. Если и это не помогает — проверяем, не блокирует ли антивирус процесс cadesplugin.exe или cadesutil.exe в журнале событий.

Поддерживает ли плагин КриптоПро браузер Internet Explorer?

Microsoft прекратила поддержку Internet Explorer в 2022 году, и КриптоПро рекомендует переходить на Edge на базе Chromium. Для устаревших корпоративных систем, которые требуют IE-режим, есть отдельный ActiveX-компонент КриптоПро для Internet Explorer — но это уже не Browser Plug-in, а другой продукт. На современных Windows плагин Browser Plug-in работает в Chrome, Яндекс.Браузере, Edge на базе Chromium и Firefox последних версий. На Windows 7 и младше работа плагина не гарантируется.

Что делать при ошибке «Расширение заблокировано администратором» в Edge или Chrome?

На корпоративных машинах в Active Directory админ может ограничить установку расширений белым списком. Решение одно — обратиться в IT-службу с идентификатором расширения CryptoPro Extension for CAdES Browser Plug-in (для Chrome/Яндекс — pfhgbfnnjiafkhfdkmpiflachepdcjod) и попросить включить в политику. Самостоятельно обходить корпоративные политики нельзя — это нарушение внутреннего регламента и подставит сотрудника под дисциплинарную ответственность.

Можно ли использовать один плагин для подписания на нескольких сайтах одновременно?

Да, плагин универсальный — один и тот же экземпляр работает с Госуслугами, ЛК ФНС, ЭТП, кадровыми сервисами и так далее. Разрешение для каждого сайта запрашивается отдельно при первой подписи на этом домене. Можно заранее в настройках расширения добавить нужные домены в белый список — это ускорит работу при ежедневном использовании нескольких сервисов. Один плагин на машине поддерживает несколько токенов и сертификатов одновременно.

Нужен ли плагин КриптоПро для подписания в КЭДО Добыто?

Только если сотрудники подписывают документы УКЭП с физического носителя (рутокен, JaCarta). Для подписания ПЭП и УНЭП, выпущенной самим сервисом — плагин не нужен. Сотрудник заходит в кабинет КЭДО через мобильное приложение или браузер и подписывает документ нажатием кнопки. Это упрощает массовое подключение — на 1000 сотрудников приходится 10-20 рабочих мест с настроенным плагином (для топ-менеджмента и кадровиков с УКЭП), остальные подписывают без плагина.

Как часто нужно перепроверять работоспособность плагина?

После каждого крупного обновления браузера, операционной системы или КриптоПро CSP. Это раз в 1-3 месяца в среднем по парку машин. Также проверка нужна перед массовыми кампаниями подписания (выдача расчётных листков, ознакомление с ЛНА, ежегодное продление трудовых договоров). По нашей практике в Добыто, профилактическая проверка плагина на 10-20 рабочих местах раз в квартал снимает до 70 процентов обращений в техподдержку в день массовой подписи.

Что такое штамп времени и зачем он нужен в подписи?

Штамп времени — это документ от доверенной службы (TSA, Time Stamping Authority), который фиксирует точный момент подписания и хэш документа. Нужен для того, чтобы потом, после истечения сертификата, можно было доказать в суде: подпись была сделана тогда-то, сертификат на тот момент действовал, документ после подписи не менялся. Штамп времени реализуется через формат CAdES-T или CAdES-X Long Type 1 в плагине КриптоПро. Доверенные службы штампа времени есть у ФНС, СКБ Контур, у большинства аккредитованных удостоверяющих центров.

Как проверить плагин на macOS и Linux?

На macOS дистрибутив cprocsp-pki-cades.dmg ставится через стандартное окно установки. После установки плагин нужно разрешить в «Системные настройки — Защита и безопасность — Основные». Проверка идёт через ту же демо-страницу cades_bes_sample.html. На Linux плагин ставится из .deb или .rpm пакета через apt или yum. На Chromium-браузерах подхватывается автоматически, в Firefox требует явной регистрации через WebExtensions. Сертифицированные Astra Linux и AlterOS имеют свои сборки плагина с поддержкой ГОСТ-сертификатов.

Что значит сообщение «Сертификат не действителен» при тестовой подписи?

Сообщение появляется, если истёк срок действия сертификата или сертификат отозван удостоверяющим центром. У УКЭП срок действия обычно 12-15 месяцев, после окончания нужно выпускать новую подпись. Проверить срок можно в «КриптоПро CSP — Сервис — Просмотреть сертификаты в контейнере» или прямо в окне подписи на демо-странице. Также причиной может быть разорванная цепочка корневых сертификатов — тогда поможет переустановка корневых сертификатов УЦ из дистрибутива КриптоПро или с сайта удостоверяющего центра.

Влияет ли антивирус на работу плагина КриптоПро?

Да, Касперский, ESET и Dr.Web периодически блокируют процессы плагина (cadesplugin.exe, cadesutil.exe), считая обращение к закрытому ключу подозрительным. В журнале антивируса будет запись о блокировке. Решение — добавить процессы в исключения по пути установки КриптоПро (обычно C:\Program Files\Crypto Pro\CAdES Browser Plug-in\). На корпоративных машинах с централизованным управлением антивирусом исключения добавляются через консоль администратора, а не на стороне пользователя.

Чем плагин КриптоПро отличается от других плагинов для электронной подписи?

Плагин КриптоПро — самый распространённый в России, работает с криптопровайдером КриптоПро CSP и поддерживает алгоритмы ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012. Альтернативы: ВипНет CSP с собственным плагином (используется реже), плагин Saby Crypto от компании Тензор (привязан к экосистеме СБИС), JinnClient от «Кода безопасности». Все они формируют подпись по тем же ГОСТ, но не взаимозаменяемы — каждый работает только со своим криптопровайдером. На Госуслугах и в большинстве кадровых сервисов поддерживается именно КриптоПро.

Когда плагин и расширение проверены на ключевых рабочих местах — наступает время разворачивать КЭДО на всю компанию. Сервис Добыто КЭДО берёт эту работу на себя: настройка плагинов на пилотной группе, обучение администраторов, разработка регламентов подписания, миграция архивов из бумажного делопроизводства. За время работы мы подключили более 500 компаний разного масштаба — от 50 до 30 000 сотрудников — и в каждом проекте этап настройки криптографии занимает не больше недели.

Тарифы у Добыто прозрачные: оплачивается только активный кабинет сотрудника, электронные подписи ПЭП и УНЭП включены в стоимость, без скрытых модулей в коммерческом предложении. Юридическая обвязка для запуска КЭДО — шаблон ЛНА, формы согласий, приказы — идёт из коробки и адаптируется под структуру конкретной компании.

Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
Мобильное приложение для подписания документов с телефона — в командировке, в отпуске, без похода в отдел кадров
Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия), SAP и Boss-Кадровик — ставится за час без привлечения разработчиков
Три вида поставки — облачная, on-premise, гибридная — под требования ИБ и VPN-периметра компании
Прозрачное ценообразование — фиксированная стоимость за рабочее место, без скрытых модулей и позиций в КП
Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
Сопровождение клиента до первых 50 подписаний — провайдер ведёт до момента полностью самостоятельной работы

Запросить демо-доступ