Сертификат проверки ЭП — это электронный документ, который удостоверяющий центр выдаёт владельцу подписи, чтобы связать открытый ключ проверки с конкретным человеком или организацией. По закону 63-ФЗ полное имя этого документа звучит как сертификат ключа проверки электронной подписи, и именно он отвечает на вопрос, кто подписал файл и кому можно доверять. Из статьи вы поймёте, какие поля лежат внутри сертификата, чем квалифицированный отличается от неквалифицированного, как читать срок действия и цепочку доверия, и как за пару минут проверить чужую подпись, не устанавливая тяжёлый софт. Это часть большого материала про электронную подпись и работу с ЭЦП, где собран весь путь от выпуска ключа до подписания документа.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Что такое сертификат ключа проверки электронной подписи
Сертификат ключа проверки электронной подписи связывает открытый ключ с личностью владельца. Тут есть частая путаница, которую стоит развести сразу. Когда человек говорит «я получил в удостоверяющем центре электронную подпись», технически он получил не подпись, а сертификат ключа проверки плюс закрытый ключ на носителе. Сама подпись — это число, которое вычисляется из документа в момент подписания. А сертификат — тот документ, по которому вторая сторона понимает, чья это подпись и действовала ли она.
Механика простая по сути. У подписи две части. Закрытый ключ (в народе «закрытка») хранится у владельца и никому не передаётся — им создают подпись. Открытый ключ («открытка») лежит внутри сертификата и доступен всем — им проверяют подпись и убеждаются, что документ не меняли после подписания. Эти два ключа связаны жёстким математическим соотношением: каждому закрытому соответствует ровно один открытый, и соответствие однозначное.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Люди путают три вещи — «флешку», «серт» и саму подпись, а потом удивляются, почему «замочек» красный. Сертификат — это ваш паспорт в мире ЭП. Там написано, кто вы, кто вам его выдал и до какого числа он живёт. Всё остальное — криптография, в которую пользователю лезть не обязательно.»
Какую информацию содержит сертификат проверки ЭП
Открыть сертификат может любой владелец подписи. На токене он ставится в хранилище, дальше через свойства сертификата видно набор полей. Состав полей для квалифицированного сертификата задан не произвольно — его форму утверждает приказ ФСБ № 795 от 27.12.2011. Ниже разобрала поля, которые встречаются в каждом сертификате УКЭП.
| Поле сертификата | Что означает |
|---|---|
| Владелец (кому выдан) | ФИО и СНИЛС физлица; для юрлица — наименование, ИНН, ОГРН, должность, иногда ФИО руководителя |
| Издатель (кем выдан) | удостоверяющий центр, выпустивший сертификат: УЦ ФНС, Контур, Калуга Астрал и другие |
| Срок действия | поля «действителен с» и «по»; чаще всего 12-15 месяцев, для отдельных типов — дольше |
| Открытый ключ | та самая «открытка» — набор символов для проверки подписи и шифрования |
| Серийный номер | уникальный номер сертификата внутри конкретного удостоверяющего центра |
| Алгоритм подписи | ГОСТ Р 34.10 и ГОСТ Р 34.11 — российские стандарты хэширования и подписи |
| Точки распространения CRL | ссылки на список отозванных сертификатов и адрес службы OCSP |
| Область применения (OID) | идентификаторы, где сертификат разрешено использовать: торги, отчётность, ЭДО |
Полей на самом деле больше, но эти восемь — основа. Один такой сертификат вместе с цепочкой занимает порядка 10-12 килобайт, поэтому на токен на 64 килобайта помещается около 15 сертификатов, а на 128 килобайт — до 31. Носитель многоразовый, просроченные серты с него удаляют и записывают новые.
Мария Ж, судебный эксперт по трудовому праву:
«В суде смотрят не на «синенький квадратик» на распечатке. Штампик с номером сертификата — это визуализация для глаз, юридической силы у бумажки нет. Спор решает электронный оригинал: сам файл, сик-файл подписи и данные сертификата — кому выдан, кем, действовал ли на момент подписания. Всё остальное — декорация.»
Квалифицированный и неквалифицированный сертификат: в чём разница
Закон 63-ФЗ делит подписи на три вида, и сертификат есть только у усиленных. У простой электронной подписи (ПЭП) сертификата нет вообще — там логин, пароль и одноразовый код, и это частая ошибка, когда говорят «квалифицированный сертификат ПЭП». Такой сущности не существует. Сертификат появляется у неквалифицированной (НЭП) и квалифицированной (УКЭП) подписи.
Механизм создания подписи у НЭП и УКЭП одинаковый. Разница — юридическая и в том, кто выпускает сертификат. НЭП может выпустить даже сам работодатель или обычный удостоверяющий центр без аккредитации. УКЭП выпускает только удостоверяющий центр, прошедший аккредитацию ФСБ и Минцифры. Именно поэтому у квалифицированного сертификата в цепочке доверия наверху всегда стоит головной удостоверяющий центр Минцифры, а неквалифицированный такой цепочки не имеет.
| Признак | Сертификат НЭП | Сертификат УКЭП |
|---|---|---|
| Кто выпускает | любой УЦ, работодатель | только аккредитованный УЦ |
| Форма сертификата | свободная | по приказу ФСБ № 795 |
| Аналог рукописной подписи | по соглашению сторон | по умолчанию, по закону |
| Цепочка до Минцифры | нет | да |
| Средство подписи (СКЗИ) | любое | сертифицированное ФСБ |
Отдельная история — обезличенный сертификат. Его выдают на юрлицо или ИП и привязывают к информационной системе. Им автоматически подписывают счета, квитанции, запросы в госорганы без участия сотрудника. Сотрудник таким сертификатом пользоваться не может, и это нормально: он для машинного потока, а не для людей. В практике Добыто мы подключаем обезличенный сертификат, когда клиенту нужно массово подписывать документы в КЭДО без ручной работы кадровика.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Цепочка доверия и корневой сертификат
Сертификат не висит сам по себе. Он встроен в иерархию удостоверяющих центров, и эта цепочка — главное, что проверяет любая программа при открытии подписанного файла. На верхнем уровне для УКЭП стоит Минцифры (головной УЦ), ниже — аккредитованный удостоверяющий центр вроде Контура или УЦ ФНС, в самом низу — сертификат конкретного владельца. Программа строит эту цепочку снизу вверх и проверяет каждое звено.
Отсюда растёт частая проблема с сообщением «не найден корневой сертификат». При выпуске УКЭП вся цепочка доверенных корневых сертификатов ставится на токен по умолчанию. А вот при работе с НЭП корневые сертификаты система сама не устанавливает — Windows не доверяет всем подряд. Если цепочка рвётся, подпись не пройдёт проверку, пока не установить корневой сертификат вручную как доверенный.
Мария Ж, юрист со стажем более 20 лет:
«Когда крипта ругается на корневой — не паникуйте и не тыкайте «установить» на всё подряд. Открыли серт, посмотрели цепочку, докатили недостающее звено с сайта своего УЦ. Установили чужой корневой без разбора — и ваш «одинэска» или браузер теперь доверяет тому, кому доверять не надо. Читайте, что ставите.»
Образцы документов для выпуска и отзыва сертификата ЭП
Открыть список документов
| Документ | Скачать |
|---|---|
| Заявление на выпуск квалифицированного сертификата ЭП | Скачать |
| Заявление на аннулирование сертификата ЭП | Скачать |
| Доверенность на получение сертификата ЭП | Скачать |
| Согласие на обработку ПДн для выпуска сертификата ЭП | Скачать |
| Соглашение об использовании ПЭП и НЭП | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Криптографическая защита информации: процессы формирования и проверки | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
Срок действия сертификата и отзыв
У сертификата есть срок жизни, и это не формальность. Регулятор (ФСБ) при сертификации средства подписи задаёт максимальный срок действия ключа, а удостоверяющий центр в своём регламенте назначает конкретную дату. Классический срок квалифицированного сертификата — 12-15 месяцев. Для отдельных типов и связок сертификаты выпускают на более длинные периоды. Точную дату всегда видно в полях «действителен с» и «по».
Сертификат можно отозвать досрочно — через заявление в тот удостоверяющий центр, который его выдал. Отзыв нужен при увольнении, компрометации закрытого ключа или потере токена. После отзыва УЦ вносит сертификат в список отозванных сертификатов (CRL), и все документы, подписанные после этой отметки, проверку уже не пройдут. Тут ловушка: удалить сертификат из реестра компьютера — не значит отозвать его. Пока владелец не написал заявление в УЦ, подпись формально живёт.
Отзыв сертификата и разбор цепочки доверия — тот момент, где бизнес чаще всего спотыкается. Сотрудник уволился, а его УКЭП с полномочиями по МЧД никто не аннулировал, и подписью продолжают пользоваться. Если не хотите разбираться с реестрами сертификатов и списками отзыва вручную, специалисты Добыто настраивают контроль сроков и статусов подписей внутри КЭДО, чтобы просроченные и отозванные серты не мешали работе.
Как срок сертификата связан со штампом времени
Сертификат живёт год, а документ нужно хранить пять, десять, а кадровые бумаги — и до 50 лет. Возникает вопрос: как через три года доказать, что подпись была действительна в момент подписания, если серт давно истёк? На помощь приходит усовершенствованная электронная подпись. В неё добавляют доказательства подлинности: метку доверенного времени (штамп времени) и OCSP-ответ о статусе сертификата.
Штамп времени выдаёт доверенная служба — у налоговой своя, у удостоверяющих центров свои. В момент подписания в службу уходит хэш документа, обратно возвращается метка с точным временем. OCSP-ответ подтверждает, что на момент подписания сертификат не был отозван. Архивная метка объединяет обе и переподписывает поверх, чтобы подпись пережила даже смену криптоалгоритмов. Без этого «ухаживания за подписью» через несколько лет вы получите файл, который технически не проверить.
Мария Ж, соучредитель сервиса КЭДО Добыто:
«Отметке времени при внедрении не уделяют внимания, а потом в суде затык. Подпись есть, а когда её поставили — непонятно. Мы на проектах сразу закладываем усовершенствованный формат с меткой времени и OCSP — это те плюшки от УЦ, которые стоят копейки, а спасают от спора на годы. Пожалели денюжки сегодня — переподписываете весь архив завтра.»
Как проверить сертификат электронной подписи
Проверить чужую подпись и её сертификат можно несколькими способами, и для этого не нужен «каменный век» с распечатками. Программа при проверке смотрит четыре вещи: цепочку доверия до корневого, срок действия, отсутствие сертификата в списке отзыва и целостность документа. Если все четыре пункта в порядке — «зелёная галочка», подпись валидна.
Самый быстрый путь — государственный сервис. На портале Госуслуг работает раздел подтверждения подлинности электронной подписи: туда загружают документ и файл подписи, сервис отдаёт статус и данные сертификата. Проверить подпись можно и на портале Госуслуг — это официальный государственный ресурс, а не сторонняя база. Локально сертификат читают через КриптоПро или КриптоАРМ — там же видно все поля и цепочку. Для откреплённой подписи нужно загружать и документ, и сик-файл вместе, иначе проверка не соберётся. Как устроен файл с открепленной УКЭП и его проверка, разобрано в отдельном материале.
Как проверить сертификат ЭП: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Соберите файлы: сам документ и файл подписи. Для присоединённой подписи хватит одного файла, для откреплённой нужен документ плюс сик-файл.
- Шаг 2. Откройте сервис проверки — форму Добыто выше, раздел подписи на Госуслугах или локальный КриптоПро.
- Шаг 3. Загрузите документ и подпись, запустите проверку.
- Шаг 4. Прочитайте результат: статус подписи, владелец сертификата, издатель, срок действия, отметка о том, что серт не отозван.
- Шаг 5. Проверьте цепочку доверия. Если система пишет про недостающий корневой — установите его с сайта удостоверяющего центра, выпустившего подпись.
Стоимость сертификата ЭП и подключения КЭДО с подписью
Сам квалифицированный сертификат на руководителя и ИП удостоверяющий центр ФНС выпускает бесплатно с 2022 года — платить приходится за токен и лицензию криптопровайдера. А когда подпись встраивают в кадровый документооборот, стоимость считают уже за рабочее место в сервисе КЭДО. Итоговая сумма зависит от численности штата, выбранного тарифа и набора видов подписи, которые вы подключаете.
| Тариф | Стоимость | Что входит |
|---|---|---|
| Старт | от 30 ₽ за сотрудника / мес | до 25 сотрудников, ПЭП и УНЭП, базовые шаблоны, email-поддержка |
| Бизнес | от 50 ₽ за сотрудника / мес | неограниченно сотрудников, ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив, приоритетная поддержка |
| Корпорация | По запросу | всё из тарифа Бизнес, выделенный сервер, SLA 99.9%, персональный менеджер, API |
Итоговая сумма зависит от численности персонала, выбранного тарифа и объёма подключаемых модулей — актуальные тарифы сервиса Добыто помогут сориентироваться точнее. Лицензия криптопровайдера, когда её включают в состав сертификата, действует ровно столько, сколько живёт сам сертификат.
Ошибки при работе с сертификатом ЭП
Разберу три ошибки, которые дороже всего обходятся на практике.
Ошибка первая — не отозвать сертификат при увольнении. Кадровик удаляет подпись из реестра и считает вопрос закрытым. Так делают ради скорости. Цена ошибки: сертификат остаётся действующим, бывший сотрудник или тот, у кого есть доступ к токену, подписывает документы от лица компании. Отзыв идёт только через заявление в УЦ.
Следите за нашими каналами
Никакой воды — только важное и новости первыми.
Ошибка вторая — подписать документ без метки времени. Внедренцы про штампы времени забывают, потому что «и так работает». Цена ошибки: через год сертификат истекает, и в споре нельзя доказать, что подпись стояла в срок. Суд смотрит момент подписания, а его нет.
Ошибка третья — принести в суд распечатку со штампиком. Так делают, потому что бумага привычнее. Цена ошибки: «плашка с подписями» на PDF юридической силы не несёт, нужен электронный оригинал с файлом подписи. В делах Сбера и Винлаба суды восстанавливали работников именно потому, что работодатель не смог корректно подтвердить авторство и целостность подписанного документа. За время работы Добыто мы выгружаем из КЭДО полный комплект — документ, файлы подписи и данные сертификата, чтобы при проверке ГИТ или в суде было чем оперировать.
Выводы: что запомнить о сертификате проверки ЭП
Сертификат ключа проверки электронной подписи — это электронный паспорт подписи. Он содержит владельца (ФИО, СНИЛС или ИНН и ОГРН для юрлица), издателя, срок действия, открытый ключ, серийный номер, алгоритм по ГОСТ, ссылки на списки отзыва и область применения. Форму квалифицированного сертификата задаёт приказ ФСБ № 795, а сам вид подписи и порядок доверия к нему регулирует 63-ФЗ. Сертификат есть только у усиленных подписей: у ПЭП его нет, у НЭП он без цепочки до Минцифры, у УКЭП цепочка обязательна.
На практике держите в голове три вещи. Проверяйте сертификат по четырём пунктам — цепочка, срок, отзыв, целостность, и делайте это через Госуслуги или КриптоПро, а не по распечатке со штампом. Отзывайте сертификат заявлением в удостоверяющий центр при увольнении и потере ключа, потому что удаление из реестра подпись не аннулирует. Для документов с длинным сроком хранения используйте усовершенствованный формат с меткой времени и OCSP-ответом, иначе через год-два подпись станет непроверяемой.
Тренд однозначный: сертификаты выпускают на всё более длинные сроки, растёт доля неизвлекаемых ключей формата ФКН и мобильной подписи через Госключ. Но фундамент остаётся прежним — юридическую значимость документу даёт не «штампик» на бумаге, а корректный сертификат, действовавший на момент подписания, и доказательства подлинности вокруг него.
Часто задаваемые вопросы
Чем сертификат проверки ЭП отличается от самой электронной подписи?
Какие поля обязательно есть в квалифицированном сертификате?
Сколько действует сертификат электронной подписи?
Как проверить, что сертификат не отозван?
Почему при проверке пишет «не найден корневой сертификат»?
Есть ли сертификат у простой электронной подписи?
Что такое обезличенный сертификат и кому он нужен?
Остаётся ли документ действительным после истечения срока сертификата?
Как отозвать сертификат при увольнении сотрудника?
Имеет ли юридическую силу распечатка со штампом подписи?
Сколько сертификатов помещается на один токен?
Кто может выпустить сертификат УКЭП?
Вы разобрались, что содержит сертификат проверки ЭП, как читать его поля и как проверить чужую подпись. Дальше начинается практика — выпустить сертификаты на сотрудников, встроить подпись в кадровые процессы, настроить контроль сроков и отзыва, чтобы просроченные серты не блокировали работу. Именно это закрывает сервис КЭДО Добыто.
За время работы Добыто подключил более 500 компаний к электронному кадровому документообороту — от небольших команд до ритейла на несколько тысяч человек. Мы работаем со всеми тремя видами подписи, ведём цепочку подписей с отметками времени и выгружаем полный комплект документов для проверок ГИТ и суда.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового процесса
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках ГИТ и в суде
- Мобильное приложение для подписания документов с телефона — без похода в отдел кадров
- Готовый коннектор с 1С (ЗУП, КА, ERP) — ставится за час без привлечения разработчиков
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Хранение документов до 50 лет — доступ к архиву сохраняется даже при расторжении договора
- Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ