Проверка сертификата электронной подписи на отозванность по списку CRL — критически важная процедура, от которой зависит юридическая сила каждого подписанного документа. Если сертификат отозван, а вы подписали документ после даты отзыва, подпись считается недействительной. Точка. Суд не примет такой документ, ГИТ при проверке укажет на нарушение, а контрагент может оспорить сделку. Для компаний, работающих с КЭДО и кадровым учетом, это не абстрактная угроза — это реальные риски, которые встречаются чаще, чем хотелось бы. Особенно при увольнении сотрудников, когда закрытый ключ уходит вместе с токеном, а кадровик продолжает подписывать приказы «старым» сертификатом. Подробнее о методах и инструментах верификации — в материале про проверку электронной подписи.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое список отозванных сертификатов (CRL) и зачем он нужен
CRL (Certificate Revocation List) — файл, в котором удостоверяющий центр публикует серийные номера всех отозванных сертификатов. Каждый аккредитованный УЦ обязан вести собственный CRL и обновлять его, как правило, каждые 24 часа. Формат стандартизирован — X.509 CRL v2, файл публикуется в открытом доступе.
URL для скачивания CRL берется из самого сертификата: поле CDP (CRL Distribution Point). Открываете сертификат в КриптоПро CSP или через оснастку certmgr.msc, ищете расширение «Точки распределения списков отзыва» — там лежит прямая ссылка на CRL-файл удостоверяющего центра.
Разница между CRL и OCSP. CRL — периодический список: скачал файл, установил в хранилище, программа сверяет серийные номера. Проблема: если серт отозвали час назад, а CRL обновляется раз в сутки — в списке этого номера еще нет. OCSP (Online Certificate Status Protocol) работает в реальном времени: запрос к серверу УЦ и мгновенный ответ «действителен / отозван / неизвестен». Точнее, но требует интернет-соединения.
Цепочка доверия: сертификат подписанта — сертификат УЦ — сертификат ГУЦ Минцифры. На каждом уровне проверяется свой CRL. Если УЦ лишился аккредитации — все его сертификаты становятся проблемными.
Правовая основа: ст. 14 63-ФЗ обязывает УЦ внести информацию об отзыве в реестр в течение 12 часов с момента обращения. На практике крупные УЦ обновляют CRL быстрее, но 12 часов — максимальная задержка по закону.
Основания для отзыва сертификата электронной подписи по 63-ФЗ
63-ФЗ устанавливает четкий перечень оснований для отзыва. Компрометация закрытого ключа — самое очевидное: потеряли токен, украли флешку с контейнером, подозреваете утечку — немедленно в УЦ с заявлением. Второе — заявление владельца (увольнение, смена организации, перевыпуск). Третье — прекращение деятельности УЦ или лишение аккредитации. Четвертое — обнаружение дубликата открытого ключа.
Ч. 1 ст. 10 63-ФЗ обязывает владельца обеспечить конфиденциальность ключа, не использовать его при подозрении на компрометацию и незамедлительно обратиться в УЦ. Чем дольше тянете — тем больше документов подписано потенциально скомпрометированным ключом.
После отзыва серийный номер попадает в CRL и остается навсегда. Сертификат может быть в трех состояниях: действующий (valid), приостановленный (suspended) и отозванный (revoked). Приостановку можно снять. Отзыв необратим — только перевыпуск.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Самые частые грабли — увольнение сотрудника. Кадровик оформляет приказ об увольнении, передает токен в сейф «до лучших времен», а в УЦ заявление на отзыв не отправляет. Через полгода обнаруживается, что этим рутокеном кто-то подписал десять документов. Или другая история: сотрудник потерял флешку с закрыткой, постеснялся сказать. Месяц молчал. А потом выясняется при проверке ГИТ. Правило простое: уволил человека — в тот же день подаешь заявление на отзыв серта. Без вариантов.»
Как проверить сертификат на отозванность через CRL в КриптоПро
КриптоПро CSP 5.0 R3 — основной сертифицированный ФСБ крипто-провайдер. Проверка подписи работает бесплатно без лицензии. Лицензия нужна только для создания подписи.
Порядок проверки вручную. Открываете КриптоПро CSP, переходите на вкладку «Сервис», нажимаете «Просмотреть сертификаты в контейнере» (или открываете серт через certmgr.msc). В свойствах ищете расширение «Точки распространения списков отзыва (CRL)» — копируете URL, скачиваете файл .crl через браузер.
Устанавливаете CRL: двойной клик по файлу .crl, «Установить список отзыва», хранилище «Промежуточные центры сертификации». После установки КриптоПро автоматически сверяет серийный номер сертификата с этим списком при каждой проверке подписи.
Частая ошибка: «Не найден список отозванных сертификатов». Возникает, когда CRL не установлен, а CDP-ссылка недоступна. Решения: скачать CRL вручную, проверить доступность URL (прокси, файрвол), убедиться, что CRL не просрочен (поле «Следующее обновление»).
Для автоматизации КриптоПро предлагает Revocation Provider — компонент-прослойка, автоматически скачивающий CRL или отправляющий OCSP-запросы. Настраивается через реестр Windows или групповые политики.
Мария Ж, специалист по цифровой подписи и КЭДО:
«КриптоПро — штука мощная, но настройка крипто-провайдера для корректной работы с CRL — это отдельный квест. На чистой машине из коробки ничего не работает. Надо поставить корневые серты ГУЦ, серты промежуточных УЦ, скачать актуальные CRL-ки, настроить Revocation Provider. Мы в Добыто раскатываем все это бесшовно при подключении клиента — кэдошник получает рабочую станцию, где все уже настроено. Но если делаете сами — закладывайте час на первичную настройку.»
Проверка статуса сертификата через OCSP
OCSP — более современная альтернатива CRL. Программа отправляет точечный запрос к серверу УЦ: «Серт с серийным номером таким-то — жив или отозван?» Ответ за доли секунды: good, revoked или unknown.
КриптоПро реализует OCSP через модуль OCSP Client. URL OCSP-сервиса прописан в сертификате — расширение Authority Information Access (AIA). Если URL доступен, проверка происходит автоматически.
Главная ценность OCSP — ответ можно встроить в подпись. Формат CAdES-XLong Type 1 содержит подпись, сертификат подписанта, всю цепочку доверия, метку времени от TSP-службы и OCSP-ответы. Это самодостаточный контейнер — для проверки не нужен ни интернет, ни актуальный CRL.
Когда что использовать? Оперативная проверка «здесь и сейчас» — OCSP. Автономная работа без интернета — CRL. Долгосрочное хранение — CAdES-XLong Type 1 или CAdES-A. Массовая проверка десятков сертификатов — CRL (один файл вместо десятков запросов).
Проверка отозванности сертификата в КриптоАРМ ГОСТ
КриптоАРМ ГОСТ — второй по популярности инструмент для работы с подписями. Проверка бесплатна. Три способа проверки отозванности.
Через Revocation Provider. Если установлен КриптоПро Revocation Provider, КриптоАРМ автоматически обращается к CRL или OCSP через провайдер. Загружаете файл, запускаете проверку — все на автомате.
Через CRL от УЦ. Скачиваете CRL вручную по ссылке из CDP, устанавливаете в хранилище Windows. КриптоАРМ сверит серийный номер с этим списком.
Через OCSP. Прямые OCSP-запросы, если в сертификате прописан AIA. Результат: зеленая галочка — серт не отозван, красный крест — проблемы.
Программа работает со всеми форматами CAdES: BES, T, XLong Type 1, A — каждый содержит разный набор данных для верификации.
Как проверить статус сертификата через КриптоАРМ: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Открыть КриптоАРМ ГОСТ, перейти в раздел «Сертификаты» в левом меню программы.
- Шаг 2. Выбрать хранилище сертификатов (личное, доверенные, промежуточные) и найти нужный сертификат в списке.
- Шаг 3. Кликнуть правой кнопкой мыши по сертификату, выбрать пункт «Проверить статус» в контекстном меню.
- Шаг 4. Выбрать способ проверки: CRL (через СОС — список отозванных сертификатов), OCSP (онлайн-запрос к серверу УЦ) или Revocation Provider (автоматический выбор).
- Шаг 5. Дождаться результата проверки. Зеленая галочка подтверждает, что сертификат действителен и не числится в списках отзыва. Красный крест или восклицательный знак — требуется дополнительная диагностика.
Проверка сертификата на Госуслугах и онлайн-сервисах
Самый простой способ — портал Госуслуг: e-trust.gosuslugi.ru/check/sign. Регистрация не требуется. Загружаете файл подписи и документ (для откреплённой подписи) — получаете отчёт со статусом сертификата, данными владельца и информацией об отзыве.
Госуслуги автоматически обращаются к CRL и OCSP удостоверяющего центра. Если серт в CRL — покажет «Сертификат отозван» с датой и причиной. Если CRL недоступен — пробует OCSP.
Альтернативы: КриптоАРМ Server (массовая проверка через API), Контур.Крипто (до 30 бесплатных проверок в месяц, без установки плагинов). Оба проверяют статус отозванности автоматически.
Мария Ж, судебный эксперт по трудовому праву:
«Онлайн-проверка — удобная штука, но у нее есть серьезное ограничение. Вы отправляете документ на чужой сервер. Для конфиденциальных кадровых документов — трудовых договоров, персональных данных, соглашений о неразглашении — это не лучшая идея. Госуслуги хотя бы предлагают режим проверки по хешу, когда содержимое документа не уходит на сервер. Но для внутренних проверок в КЭДО мы рекомендуем локальные инструменты. В Добыто верификация идет на стороне клиента — документы вообще не покидают периметр.»
Полезные документы для работы с CRL и проверки сертификатов ЭП
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| ФЗ № 63-ФЗ «Об электронной подписи» (RTF) | Скачать |
| ФЗ № 63-ФЗ «Об электронной подписи» (PDF) | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Приказ ФСБ № 795 (требования к КЭП) | Скачать |
| Криптографическая защита информации | Скачать |
| ФЗ № 377-ФЗ (КЭДО, изменения в ТК) | Скачать |
| Приказ о введении КЭДО | Скачать |
Ошибка «Не найден список отозванных сертификатов» — причины и решения
Самая распространенная ошибка при проверке ЭП в Windows. Формулировки: «Не удалось загрузить CRL», «CRL is not found», «Невозможно проверить статус отзыва». Суть: программа не может найти актуальный список отзыва.
Причины: CRL не скачан и не установлен; CDP-ссылка ведёт на лежащий сервер УЦ; CRL просрочен (дата позже поля «Следующее обновление»); заблокированы HTTP-порты файрволом; корпоративный прокси не пропускает запросы.
Решения. Скачать CRL вручную по CDP URL из свойств сертификата, установить двойным кликом в хранилище «Промежуточные центры сертификации». Если URL недоступен — искать CRL на сайте УЦ. Проверить настройки прокси в Internet Explorer (КриптоПро использует его сетевой стек). Убедиться, что порты 80 и 443 открыты для исходящих.
Установка через командную строку: certutil -addstore CA path-to-file.crl. Для корневого CRL: certutil -addstore Root path-to-root.crl.
Настройка CRL, корневых сертификатов, Revocation Provider — все это требует технической квалификации и времени. В сервисе Добыто КЭДО проверка статуса сертификатов настроена автоматически: система сама скачивает актуальные CRL, обращается к OCSP, и кадровик видит только результат — зеленую или красную отметку рядом с подписью. Никаких ручных манипуляций с хранилищами сертификатов.
CRL и OCSP в контексте КЭДО и долгосрочного хранения документов
Кадровые документы хранятся долго: трудовые договоры — 50 лет, приказы по личному составу — 75 лет. Через 2-3 года сертификат подписанта истечет, а CRL-серверы могут прекратить работу вместе с УЦ. Как проверить подпись?
Ответ — форматы усовершенствованной подписи CAdES. BES — базовая, проверяется только пока серт жив. CAdES-T — с меткой времени от TSP-службы. CAdES-XLong Type 1 — с OCSP-ответами и полной цепочкой доверия, автономный контейнер. CAdES-A — архивный формат с возможностью добавления новых меток поверх старых.
Для КЭДО критически важно: подпись CAdES-BES через 15 месяцев (когда серт протухнет) уже не подтвердится. Для долгосрочного хранения нужен минимум CAdES-T, а лучше CAdES-XLong Type 1.
Госключ формирует CAdES-T. КриптоАРМ Server умеет «апгрейдить» подпись до CAdES-A — это «ухаживание за электронной подписью» (термин КриптоПро Archive): периодически добавляется новая архивная метка, подтверждающая целостность. Одна метка гарантирует верифицируемость до 18 лет. Для 50-летнего хранения понадобятся 3-4 «ухаживания».
Мария Ж, HR-эксперт с 13-летним стажем:
«Архивное хранение подписанных документов — это боль для большинства кэдошников. Подписали трудовой договор УКЭП, положили в папочку. А через десять лет подпись не проверяется — серт протух, УЦ вообще закрылся, CRL-ку не скачать. И документ, по сути, превращается в просто PDF без юридической силы. В Добыто мы обкатали схему: документы долгосрочного хранения подписываются CAdES-XLong Type 1, и система автоматически обновляет архивные метки. Клиенту не нужно об этом думать — крипта работает в фоне.»
Кстати, про файлы с откреплённой УКЭП — там отдельная история с форматами и проверкой. А выбор программ для подписания документов ЭЦП напрямую влияет на то, какой формат CAdES вы получите на выходе.
Стоимость инструментов проверки сертификатов ЭП в 2026 году
Хорошая новость: проверка подписи в большинстве инструментов бесплатна. КриптоПро CSP позволяет верифицировать подписи без лицензии — платить нужно только за создание подписей. КриптоАРМ ГОСТ — аналогично, проверка бесплатна. Госуслуги — бесплатный государственный сервис без ограничений на количество проверок. Контур.Крипто — 30 бесплатных проверок в месяц.
Но для организации, которая ведёт кадровый учёт в электронном виде, вопрос стоит шире. Нужна не просто проверка «по случаю», а системное решение: автоматическая проверка при каждом подписании, контроль сроков действия сертификатов, автоматическое скачивание CRL, архивное «ухаживание» за подписями. Это возможно только в рамках полноценного сервиса КЭДО.
| Тариф / Инструмент | Стоимость | Условия |
|---|---|---|
| КриптоПро CSP (проверка подписи) | 0 ₽ | лицензия не требуется |
| КриптоАРМ ГОСТ (проверка подписи) | 0 ₽ | бесплатная версия |
| Госуслуги (e-trust) | 0 ₽ | без ограничений |
| Добыто КЭДО — тариф «Старт» | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Добыто КЭДО — тариф «Бизнес» | от 50 ₽ за сотрудника / мес | неограниченно, мин. 50 сотрудников — 30 000 ₽/год |
| Добыто КЭДО — тариф «Корпорация» | по запросу | выделенный сервер, SLA, API |
| Верификация и проверка CRL внутри Добыто | 0 ₽ | включено во все тарифы |
Подробная информация о тарифах, модулях и дополнительных услугах доступна на странице актуальных тарифов сервиса Добыто КЭДО.
Выводы: проверка сертификата ЭП на отозванность по CRL
Проверка на отозванность по CRL — обязательный элемент верификации любой усиленной подписи. CRL — периодический механизм с задержкой до 24 часов. OCSP — реальное время. Оба нужны для разных сценариев: OCSP для оперативной проверки, CRL для автономной работы и массовых проверок.
Ст. 14 63-ФЗ обязывает УЦ внести информацию об отзыве в течение 12 часов. Инструменты проверки бесплатны: КриптоПро CSP, КриптоАРМ ГОСТ, Госуслуги. Но ручная настройка CRL и Revocation Provider требует квалификации — это стоит учитывать при переходе на КЭДО.
Для долгосрочного хранения критичен формат подписи. CAdES-BES через несколько лет не проверится. CAdES-XLong Type 1 гарантирует верифицируемость до 18 лет. Для 50-летних архивов необходимо «ухаживание» в формате CAdES-A — именно так работает архивная подсистема в профессиональных системах КЭДО, включая Добыто.
Часто задаваемые вопросы
Что такое CRL и чем он отличается от OCSP?
Как часто обновляется список отозванных сертификатов?
Где найти ссылку на CRL в сертификате электронной подписи?
Можно ли проверить сертификат на отозванность без КриптоПро?
Что делать, если CRL недоступен при проверке подписи?
В течение какого срока УЦ обязан внести сертификат в CRL после отзыва?
Сохраняют ли юридическую силу документы, подписанные до отзыва сертификата?
Как проверить сертификат Госключа на отозванность?
Что такое усовершенствованная электронная подпись CAdES и зачем она нужна?
Нужна ли лицензия КриптоПро для проверки подписи?
Как автоматизировать проверку сертификатов в системе КЭДО?
Что означает ошибка «Сертификат отозван» при подписании документа?
Проверка CRL, установка корневых сертификатов, настройка Revocation Provider, контроль сроков действия сертов сотрудников — всё это забирает время и требует технической квалификации. В сервисе Добыто КЭДО эти процессы автоматизированы: система сама проверяет статус отзыва при каждом подписании и предупреждает о приближении окончания сертификата.
За время работы мы подключили к КЭДО сотни компаний — от стартапов с 10 сотрудниками до холдингов с десятками тысяч. Каждый пилот доводим до рабочей системы, не оставляя клиента один на один с крипто-провайдерами и CRL-файлами.
- Автоматическая проверка CRL и OCSP при каждом подписании — кадровик видит только зеленую или красную отметку
- Уведомления о приближении срока окончания сертификата сотрудника — за 30 дней до «дедлайна»
- Поддержка форматов CAdES-BES, CAdES-T, CAdES-XLong Type 1 — для оперативных и архивных документов
- Готовый коннектор с 1С (ЗУП, КА, ERP) — раскатывается за один день без разработчиков
- Хранение документов до 50 лет с автоматическим «ухаживанием» за архивными подписями
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Защищенные каналы связи, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ