Проверка срока действия ключа электронной подписи — процедура, которую кадровики и бухгалтеры обычно вспоминают в последний момент. Когда серт истек, подписать документ уже не получится. Ни приказ, ни допсоглашение, ни акт. Система просто откажет. И начнется беготня: срочный перевыпуск, звонки в УЦ, потерянные дни. Чтобы такого не случилось, стоит заранее разобраться, где и как посмотреть сроки. В этой статье разберем все способы проверки — от КриптоПро до Госуслуг. Больше материалов по теме проверки подписей собрано в разделе «Проверка подписи» на сайте Добыто.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое ключ электронной подписи и почему у него есть срок
Прежде чем лезть в настройки, стоит разобраться в терминологии. Ключ ЭП (он же закрытый ключ, он же закрытка на профессиональном сленге) — это криптографическая последовательность, которой вы подписываете документы. Он хранится на токене, рутокене, флешке или в реестре компьютера. А есть ключ проверки ЭП (открытый ключ) — он нужен получателю, чтобы убедиться в подлинности подписи.
По закону (ст. 14 Федерального закона № 63-ФЗ) в сертификате обязательно указываются даты начала и окончания его действия. Срок действия закрытого ключа ограничен — не более 15 месяцев, то есть 1 год и 3 месяца. Конкретный срок зависит от используемого СКЗИ. А вот сертификат (который содержит открытый ключ) может жить значительно дольше — до 10-12 лет для КЭП. Это нужно для проверки ранее созданных подписей.
Важный момент: когда закрытый ключ истекает, подписание становится невозможным. Даже если сертификат формально еще действует. Система просто не даст поставить подпись. Поэтому следить нужно именно за сроком ключа.
Мария Ж, юрист-практик по КЭДО: «В корпоративной практике чаще всего проблемы возникают не с УКЭП руководителя, а с подписями рядовых сотрудников. Кадровик выдал ПЭП или УНЭП, записал в журнал и забыл. А через год серт истек, и 50 человек не могут подписать график отпусков.»
Способы проверки срока действия ключа ЭП
Проверить срок можно несколькими путями. Выбор зависит от того, какой тип подписи используется и какое ПО установлено на компьютере.
Проверка через КриптоПро CSP
КриптоПро CSP — самое распространенное СКЗИ в России. Версия 5.0 предоставляет удобный интерфейс для просмотра всех установленных сертификатов. Демо-версия работает 90 дней, бессрочная лицензия распространяется на все семейство 5.0.
Развернуть пошаговую инструкцию
- Откройте панель управления КриптоПро CSP. Можно найти через поиск Windows или в Панели управления.
- Перейдите на вкладку «Сервис».
- Нажмите кнопку «Просмотреть сертификаты в контейнере».
- Выберите нужный контейнер из списка (если токен подключен, контейнеры отобразятся автоматически).
- Нажмите «Далее». Откроется окно с информацией о сертификате.
- Обратите внимание на поля «Действителен с» и «Действителен по» — это и есть сроки действия.
- Если нужна детальная информация, нажмите «Свойства» для просмотра всех полей сертификата.
Альтернативный путь: вкладка «Сервис» — «Протестировать контейнер закрытого ключа». Эта функция не только покажет срок, но и проверит целостность ключа.
Проверка через оснастку Windows (certmgr)
Если КриптоПро не установлен, можно воспользоваться встроенным менеджером сертификатов Windows. Нажмите Win+R, введите certmgr.msc и нажмите Enter. В разделе «Личное» — «Сертификаты» отобразятся все установленные сертификаты. Дважды кликните на нужный — откроется окно с датами действия.
Но учтите: certmgr покажет только сертификаты, установленные в хранилище Windows. Если серт лежит только на токене и не установлен в систему, этот способ не сработает.
Проверка на портале Госуслуг
На Госуслугах можно проверить все сертификаты, привязанные к вашей учетной записи. Зайдите в раздел «Настройки и безопасность», затем выберите «Электронная подпись». Портал покажет все зарегистрированные сертификаты с датами их действия.
Проверка через онлайн-сервис КриптоПро
На сайте КриптоПро есть бесплатный сервис проверки электронной подписи. Можно загрузить подписанный документ и увидеть всю информацию о сертификате, включая сроки. Для работы потребуется установленный плагин КриптоПро ЭЦП Browser plug-in.
Мария Ж, специалист по электронному документообороту: «Рекомендую проверять сроки не реже раза в квартал. В крупных компаниях с сотнями сотрудников это вообще должно быть на автомате — через систему КЭДО с виджетами мониторинга.»
Различия между ПЭП, УНЭП и УКЭП при проверке сроков
Тип подписи влияет на то, как и где проверять сроки. Разберем каждый вариант.
ПЭП (простая электронная подпись) — это логин-пароль, СМС-код или аналогичный механизм. Формально у ПЭП нет сертификата в классическом понимании. Срок действия определяется политикой конкретной системы. В КЭДО, например, ПЭП может действовать бессрочно или до момента увольнения сотрудника.
УНЭП (усиленная неквалифицированная) — уже имеет сертификат и ключевую пару. Срок обычно 12-15 месяцев. Проверяется через КриптоПро или другое СКЗИ. Приложение Госключ выдает УНЭП бесплатно.
УКЭП (усиленная квалифицированная) — выпускается аккредитованным удостоверяющим центром. Срок ключа — до 15 месяцев. Для получения УКЭП через Госключ нужен загранпаспорт с биометрией и телефон с NFC. Проверка — через любой из описанных выше способов.
В системе Добыто КЭДО поддерживаются все три вида подписей. При работе с УКЭП система автоматически отслеживает сроки и предупреждает кадровика через виджет, у кого из сотрудников заканчивается подпись. Это снимает головную боль с мониторингом.
Настройка рабочего места с сертификатом ЭП, установка КриптоПро CSP и корневых сертификатов — процесс, где каждый пропущенный шаг ломает всю цепочку. Если вы подключаете сотрудников к КЭДО и хотите избежать проблем с токенами и сертификатами, сервис Добыто берёт настройку подписей на себя — от выпуска до первого подписания.
Что делать, если срок ключа истекает
Перевыпуск ключа рекомендуется начинать за 14 дней до окончания срока. Не в последний день, не за неделю — именно за две недели. Этого времени хватит, даже если возникнут задержки с УЦ или проблемы с документами.
Алгоритм перевыпуска
Процесс зависит от того, где был выпущен сертификат. Для УКЭП руководителя (выпущенной в ФНС) нужно лично явиться в налоговую или к доверенному лицу. Для УКЭП сотрудника — обратиться в аккредитованный УЦ. Для УНЭП в рамках КЭДО — обычно достаточно пару кликов в системе.
Развернуть пошаговую инструкцию
- Определите тип подписи и где она была выпущена (УЦ, ФНС, Госключ, КЭДО-система).
- Проверьте актуальность документов: паспорт, СНИЛС, ИНН, доверенность (если применимо).
- Для УКЭП руководителя: запишитесь в ФНС через личный кабинет налогоплательщика. Возьмите с собой токен (Рутокен ЭЦП 3.0 с памятью 128 КБ вмещает до 31 контейнера).
- Для УКЭП сотрудника: подайте заявку в аккредитованный УЦ. Понадобится МЧД от организации.
- Для УНЭП/ПЭП в КЭДО: перевыпуск обычно выполняется администратором системы за несколько минут.
- После получения нового сертификата установите его на рабочее место и проверьте работоспособность подписи.
- Убедитесь, что старый сертификат отозван (если это требуется по политике безопасности).
Мария Ж, юрист, эксперт по 63-ФЗ: «Частая ошибка — забывают про МЧД при перевыпуске УКЭП сотрудника. Машиночитаемая доверенность должна быть актуальной на момент выпуска нового сертификата. Проверяйте ее срок заранее.»
Форматы подписи и проверка после истечения срока
Отдельная тема — проверка подписи на документах, подписанных давно. Допустим, три года назад сотрудник подписал трудовой договор УКЭП. Сертификат давно истек. Можно ли проверить, что подпись была валидной на момент подписания?
Да, если использовался усовершенствованный формат подписи. CAdES-XL и CAdES-A включают штамп времени (timestamp) от сервера доверенного времени. Штамп фиксирует момент подписания и позволяет проверить подпись даже спустя годы после истечения сертификата. Это критически важно для КЭДО, где документы хранятся десятилетиями.
Базовый формат CAdES-BES такой возможности не дает. После истечения сертификата проверка покажет ошибку. Поэтому при настройке системы электронного документооборота всегда выбирайте усовершенствованный формат. В Добыто КЭДО по умолчанию используется формат с штампом времени — документы остаются юридически значимыми на протяжении всего срока хранения (до 50 лет).
Подробнее о форматах подписи и инструментах для работы с ними читайте в статье Сертификат электронной подписи: состав, виды и проверка.
Проверка ключа на токене
Если ключ хранится на физическом носителе (Рутокен, eToken, JaCarta), проверка имеет свои особенности. Токен нужно подключить к компьютеру, установить драйверы и только потом смотреть сертификаты.
Рутокен ЭЦП 3.0 — один из самых популярных носителей. Объем памяти 128 КБ, вмещает до 31 контейнера. Для просмотра сертификатов на нем можно использовать утилиту «Панель управления Рутокен» или КриптоПро CSP.
Частая проблема: токен подключен, но контейнер не виден. Причины бывают разные — неустановленные драйверы, поврежденный USB-порт, конфликт с другим СКЗИ. Для диагностики используйте функцию тестирования контейнера в КриптоПро. Также полезно обратиться к материалу Программы для подписания документов ЭЦП — там описаны основные инструменты и совместимость.
Мария Ж, консультант по внедрению КЭДО: «При массовом внедрении КЭДО мы рекомендуем вести реестр токенов с указанием серийных номеров и дат истечения ключей. В Добыто это делается автоматически, но даже простая таблица в Excel лучше, чем ничего.»
Мониторинг сроков в системе КЭДО
В корпоративной среде ручная проверка сроков — путь к хаосу. Когда в компании 100+ сотрудников, кадровик физически не может отслеживать каждый серт. Нужна автоматизация.
Современные системы КЭДО, включая Добыто, предоставляют виджеты мониторинга подписей. Кадровик видит на главном экране, у кого из сотрудников подпись заканчивается в ближайшие 14-30 дней. Система автоматически отправляет уведомления сотрудникам и ответственным лицам.
Что должна показывать хорошая система мониторинга:
- Список сотрудников с истекающими подписями (с сортировкой по дате)
- Тип подписи (ПЭП, УНЭП, УКЭП) для каждого сотрудника
- Количество дней до истечения
- Статус перевыпуска (если процесс начат)
- Историю предыдущих перевыпусков
Без такой системы придется вести учет вручную. Заведите таблицу с колонками: ФИО, тип подписи, дата выдачи, дата окончания, носитель, УЦ. И проверяйте ее минимум раз в месяц.
Типичные ошибки при проверке сроков
За годы практики я видела десятки ситуаций, когда проверка сроков проводилась неправильно. Вот самые частые ошибки.
Путают срок сертификата и срок ключа. Сертификат может действовать 12 лет, а ключ — только 15 месяцев. Смотрят на серт, видят далекую дату и успокаиваются. А потом подпись не работает.
Проверяют не тот сертификат. На одном компьютере может быть установлено несколько сертификатов — личные, тестовые, от разных УЦ. Убедитесь, что проверяете именно рабочий.
Забывают про часовые пояса. Сертификат может быть выпущен по московскому времени, а компьютер настроен на другой часовой пояс. В результате серт формально истекает на несколько часов раньше или позже ожидаемого.
Не проверяют цепочку доверия. Даже если срок сертификата в порядке, он может быть невалидным из-за отозванного корневого сертификата УЦ. Всегда проверяйте статус в цепочке.
Игнорируют CRL (список отозванных сертификатов). Сертификат может быть отозван досрочно, и узнаете вы об этом только при попытке подписать документ. Регулярно обновляйте CRL.
Мария Ж, юрист-аудитор по электронному документообороту: «Самая дорогая ошибка, которую я встречала — компания полгода подписывала кадровые документы сертификатом, выданным на уволенного сотрудника. Серт был действующий, но юридически все подписи были ничтожными.»
Нормативная база
Основные нормативные акты, регулирующие сроки действия ключей ЭП:
- Федеральный закон № 63-ФЗ «Об электронной подписи» — статья 14 устанавливает обязанность указывать сроки в сертификате
- Федеральный закон № 377-ФЗ — регулирует применение электронных подписей в трудовых отношениях (КЭДО)
- Приказ ФСБ России № 796 — требования к СКЗИ, включая ограничения по срокам ключей
- Приказ Минцифры России № 486 — правила аккредитации удостоверяющих центров
Согласно требованиям ФСБ, максимальный срок действия закрытого ключа электронной подписи составляет 15 месяцев. Это ограничение связано с криптографической стойкостью — чем дольше используется ключ, тем выше риск его компрометации.
Тарифы Добыто КЭДО
Для компаний, которые хотят автоматизировать контроль сроков подписей и весь кадровый документооборот, Добыто предлагает несколько тарифных планов. Актуальные цены на странице тарифов.
| Параметр | Старт | Бизнес (популярный) | Корпорация |
|---|---|---|---|
| Стоимость | от 30 ₽ за сотрудника/мес | от 50 ₽ за сотрудника/мес (мин. 50 сотрудников, 30 000 ₽/год) | По запросу |
| Количество сотрудников | До 25 | Неограниченно | Неограниченно |
| Виды подписей | ПЭП, УНЭП | ПЭП, УНЭП, УКЭП | ПЭП, УНЭП, УКЭП |
| Шаблоны | Базовые | Кастомные | Кастомные |
| Интеграция с 1С | — | Да | Да |
| Поддержка | Приоритетная | Персональный менеджер | |
| Дополнительно | — | Электронный архив | Выделенный сервер, SLA 99.9%, API |
Документы для скачивания
Собрали полезные документы и шаблоны, связанные с электронной подписью и КЭДО.
Открыть список документов для скачивания
| Название | Категория | Скачать |
|---|---|---|
| Памятка по настройке КЭП для налоговой | ЭЦП — инструкции и памятки | Скачать PDF |
| Ответы на вопросы об установке ЭЦП | ЭЦП — инструкции и памятки | Скачать PDF |
| Инструкция по установке ЭЦП на компьютер | ЭЦП — инструкции и памятки | Скачать PDF |
| Руководство пользователя Добыто КЭДО | ЭЦП — инструкции и памятки | Скачать PDF |
| Приказ о введении КЭДО | Образцы кадровых документов | Скачать DOC |
| Приказ о КЭДО | Образцы кадровых документов | Скачать DOCX |
| Шаблон соглашения по ЭДО | Образцы кадровых документов | Скачать DOC |
| Образец штатного расписания | Образцы кадровых документов | Скачать XLS |
| Образец приказа о приеме на работу | Образцы кадровых документов | Скачать RTF |
| Образец графика отпусков | Образцы кадровых документов | Скачать XLS |
Выводы
Контроль сроков действия ключей электронной подписи — рутинная, но критически важная задача. Просроченный ключ блокирует подписание документов, а в КЭДО это может затронуть сотни сотрудников одновременно. Закон устанавливает максимальный срок закрытого ключа в 15 месяцев, и за этим нужно следить.
Проверить срок можно через КриптоПро CSP, оснастку certmgr, портал Госуслуг или онлайн-сервисы. Каждый способ имеет свои особенности и ограничения. Главное — не путать срок сертификата (может быть до 12 лет) и срок закрытого ключа (максимум 15 месяцев). Перевыпуск стоит начинать за 14 дней до окончания, чтобы избежать простоев.
Для компаний с большим штатом ручной мониторинг неэффективен. Автоматизация через КЭДО-систему с виджетами контроля подписей экономит время и снижает риски. При выборе формата подписи отдавайте предпочтение CAdES-XL или CAdES-A — они сохраняют юридическую значимость документа даже после истечения сертификата.
Часто задаваемые вопросы
Какой максимальный срок действия ключа электронной подписи?
Максимальный срок действия закрытого ключа ЭП составляет 15 месяцев (1 год и 3 месяца). Конкретный срок зависит от используемого СКЗИ и политики удостоверяющего центра.
Чем отличается срок ключа от срока сертификата?
Закрытый ключ (ключ ЭП) используется для создания подписей и действует до 15 месяцев. Сертификат содержит открытый ключ (ключ проверки ЭП) и может действовать значительно дольше — до 10–12 лет. Сертификат нужен для проверки ранее созданных подписей.
Как проверить срок действия ключа через КриптоПро?
Откройте КриптоПро CSP, перейдите на вкладку «Сервис», нажмите «Просмотреть сертификаты в контейнере», выберите контейнер и посмотрите поля «Действителен с» и «Действителен по».
Можно ли подписывать документы с истекшим ключом?
Нет. Когда закрытый ключ истекает, создание новых подписей невозможно, даже если сертификат формально ещё действует. Необходимо перевыпустить ключ.
Где на Госуслугах посмотреть срок подписи?
Зайдите в «Настройки и безопасность», затем выберите «Электронная подпись». Портал покажет все привязанные сертификаты с датами их действия.
За сколько дней нужно начинать перевыпуск ключа?
Рекомендуется начинать перевыпуск за 14 дней до окончания срока действия. Этого времени достаточно для прохождения всех процедур, даже если возникнут задержки.
Что такое формат CAdES-XL и зачем он нужен?
CAdES-XL — усовершенствованный формат электронной подписи, включающий штамп времени. Он позволяет проверить подпись даже после истечения срока сертификата, что критически важно для долгосрочного хранения документов в КЭДО.
Сколько контейнеров помещается на Рутокен ЭЦП 3.0?
Рутокен ЭЦП 3.0 с объёмом памяти 128 КБ вмещает до 31 контейнера с ключами и сертификатами.
Как получить УКЭП через Госключ?
Для получения УКЭП через приложение Госключ нужен загранпаспорт с биометрией и смартфон с поддержкой NFC. УНЭП в Госключе выдаётся бесплатно, без дополнительных требований.
Как автоматизировать контроль сроков подписей в компании?
Используйте систему КЭДО с функцией мониторинга подписей. Например, в Добыто КЭДО есть виджет, показывающий, у кого из сотрудников заканчивается подпись. Система автоматически отправляет уведомления.
Что делать, если токен не определяется компьютером?
Проверьте установку драйверов токена, попробуйте другой USB-порт, убедитесь в отсутствии конфликтов с другими СКЗИ. Используйте функцию тестирования контейнера в КриптоПро для диагностики.
Нужно ли отзывать старый сертификат при перевыпуске?
Зависит от политики безопасности организации. В общем случае старый сертификат отзывать рекомендуется, чтобы исключить его несанкционированное использование. Но для проверки ранее созданных подписей он остаётся в системе.
Можно ли проверить подпись на документе, если серт подписанта истек?
Да, если при подписании использовался формат CAdES-XL или CAdES-A с штампом времени. Штамп фиксирует момент подписания, и подпись можно проверить независимо от срока сертификата.
Какие виды подписей поддерживает Добыто КЭДО?
Добыто КЭДО поддерживает все три вида электронных подписей: ПЭП (простая), УНЭП (усиленная неквалифицированная) и УКЭП (усиленная квалифицированная). Выбор зависит от тарифного плана.
Сколько стоит лицензия КриптоПро CSP 5.0?
Демо-версия КриптоПро CSP 5.0 работает 90 дней бесплатно. Бессрочная лицензия приобретается отдельно и распространяется на все семейство версий 5.0. Точную стоимость можно рассчитать на Калькуляторе КриптоПро.
Настройка сертификатов ЭП, установка КриптоПро CSP, интеграция Госключа с кадровой системой — специалисты Добыто берут на себя весь процесс от пилотной группы до массового раскатывания.
За время работы мы подключили к КЭДО более 500 компаний. Каждый проект включает настройку маршрутизации подписей, обучение кадровиков и сопровождение до полностью самостоятельной работы.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Готовый коннектор с 1С (ЗУП, КА, ERP, бухгалтерия), SAP и Boss-Кадровик — ставится за час без привлечения разработчиков
- Полностью безбумажное оформление дистанционного сотрудника за 2 минуты
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Сопровождение клиента до первых 50 подписаний — провайдер ведёт до момента полностью самостоятельной работы