Проверка ЭЦП

Валидность ЭП: что это и как проверить подпись в 2026

Мария Ж. 18 мин чтения

Валидность электронной подписи — это состояние, при котором подпись прошла проверку и подтверждает три вещи разом: кто подписал документ, что документ не меняли после подписания и что сертификат подписанта действовал в момент подписания. Разберём, из чего складывается действительность ЭП, чем срок сертификата отличается от срока ключа, какие причины делают подпись невалидной и как проверить подпись самому за пару минут — без установки тяжёлого софта. Тема входит в большой материал про электронную подпись и работу с ней, где собраны инструкции по подписанию и проверке документов.

Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.

Что такое валидность электронной подписи

Валидная подпись — та, что при проверке даёт положительный результат по всем контрольным точкам сразу. Не по одной, а по всем. Тут важно не путать два разных вопроса. Первый: сама подпись математически корректна и соответствует документу. Второй: подписанту можно доверять, потому что его сертификат выпустил тот, кому доверяет вся система. И вот когда оба ответа — да, подпись валидна.

Механически это работает так. Когда вы подписываете файл, средство ЭП считает хэш — длинное число, которое однозначно соответствует содержимому документа. Поменяли хоть один символ, хоть пробел — хэш будет другим. Дальше хэш шифруется закрытым ключом подписанта. При проверке принимающая сторона заново вычисляет хэш документа и сверяет его с тем, что зашит в подпись. Совпали — документ не трогали. Не совпали — подпись невалидна.

Мария Ж, специалист по цифровой подписи и КЭДО:
«Люди часто думают, что валидность — это про красивый штампик на PDF. А по факту сам штампик, эта плашечка с надписью, что документ подписан, юридической значимости не несёт вообще. Он нарисован. Значимость несёт электронный оригинал с сиг-файлом, который можно загрузить в проверялку и получить зелёную галочку. Всё остальное — для наглядности.»

Простая электронная подпись, ПЭП, тут стоит особняком. Она фиксирует только факт подписания и указание на человека — логин, пароль, одноразку из СМС. Целостность документа не проверяет. То есть после подписания текст можно поменять, и подпись этого не покажет. Поэтому когда речь про валидность в полном смысле — с проверкой неизменности — мы говорим про усиленные подписи: неквалифицированную (УНЭП) и квалифицированную (УКЭП). Они обе получаются криптографическим преобразованием и обе умеют ловить изменения в документе.

Схема трёх видов электронной подписи ПЭП НЭП УКЭП и их свойства

От чего зависит валидность ЭП: условия действительности

Для квалифицированной подписи 63-ФЗ (в профессиональной среде его зовут «тройка») задаёт набор условий. Все они должны выполняться одновременно. Выпадает одно — подпись перестаёт быть действительной.

Первое. Сертификат должен быть действителен на момент подписания. Не на момент проверки, а именно тогда, когда человек ставил подпись. Это ключевой момент, к которому вернёмся отдельно.

Второе. Сертификат не должен быть отозван. У каждого удостоверяющего центра есть список отозванных сертификатов, CRL, и служба актуальных статусов, ОЦСП (в англоязычной терминологии OCSP). Если владелец потерял токен, заподозрил, что закрытый ключ утёк, или уволился — сертификат отзывают, и он попадает в этот список. Всё, что подписано после включения в список отзыва, проверку уже не пройдёт.

Третье. Должна выстраиваться цепочка доверия. На нижнем уровне — сертификат конкретного человека, выше — сертификат удостоверяющего центра, ещё выше — головной удостоверяющий центр, который в стране один и подписывает сертификаты всех аккредитованных УЦ. Для УКЭП на самом верху этой иерархии стоит Минцифры. Если цепочка рвётся — например, на компьютере не установлен корневой сертификат — крипто-провайдер будет ругаться, что корневой сертификат не найден, и подпись покажется недоверенной.

Мария Ж, судебный эксперт по трудовому праву:
«С УКЭП вся цепочка сертификатов ставится на токен и на компьютер по умолчанию при выпуске. А вот с УНЭП — нюанс в том, что корневые сертификаты сами не подтягиваются, система же не обязана доверять всему подряд. И тут человек подписывает, а ему провайдер говорит: не доверяю. Приходится вручную залезть в сертификат и проставить доверие. Половина затыков при проверке НЭП — именно про разорванную цепочку, а не про саму подпись.»

Четвёртое. Целостность документа. При проверке подтверждается, что после подписания в документ не вносили изменений. Это тот самый механизм с хэшем.

Пятое, только для квалифицированной. Средства ЭП — крипто-провайдер и токен — должны быть сертифицированы ФСБ России, а сам квалифицированный сертификат выпущен аккредитованным удостоверяющим центром. Список аккредитованных УЦ публикует Минцифры. Если подпись создана несертифицированным софтом, квалифицированной она не считается, даже если технически всё сошлось.

В практике Добыто мы при подключении компании к КЭДО первым делом проверяем именно эту связку — вид подписи под конкретный процесс и наличие полной цепочки доверия на рабочих местах. Без этого сотрудники начинают подписывать, а документы валятся с ошибкой доверия, и кадровая служба тонет в обращениях от людей.

Схема устройства УКЭП: закрытый ключ, сертификат, удостоверяющий центр

Срок действия сертификата и срок действия ключа подписи

Здесь два разных срока, и их путают постоянно. Есть срок действия сертификата ключа проверки и есть срок действия ключа подписи. Подписывать документ можно до окончания срока ключа подписи. А проверять готовую подпись под документом — до окончания срока сертификата. Сроки могут не совпадать.

По цифрам на 2026 год картина такая. Квалифицированный сертификат, выпущенный удостоверяющим центром ФНС, действует 15 месяцев. Коммерческие аккредитованные УЦ выдают сертификаты физлицам чаще на 12 месяцев, иногда на 15. Срок ключа подписи зависит от средства ЭП и, как правило, тоже около 15 месяцев, хотя связка современного крипто-провайдера с активным токеном может обеспечивать срок ключа до 3 лет. Отдельная история — удостоверяющий центр Банка России, там сертификаты выпускают на срок свыше 144 месяцев, то есть больше 12 лет, специально чтобы можно было проверять подпись при долгом хранении.

Что происходит, когда срок вышел. Просроченным сертификатом технически подписать документ ещё можно, но такая подпись юридической силы не имеет. А вот с уже подписанными документами интереснее. Сама по себе подпись после истечения срока сертификата свою значимость теряет — если только заранее не была добавлена метка доверенного времени. С меткой значимость сохраняется. Без неё — доказать, что вы подписали именно этот документ именно тогда, когда сертификат был жив, вы уже не сможете. Об этом отдельный раздел ниже.

Мария Ж, юрист со стажем более 20 лет:
«Продлить сертификат нельзя, это миф. Каждый раз выпускается новый серт с новой парой ключей — закрытка и открытка генерируются заново. Поэтому не тяните до последнего дня. Начинайте процедуру недели за две, потому что если СМЭВ где-то подвиснет, вы останетесь без действующей подписи в самый неподходящий момент. Видела, как компания встала на два дня перед сдачей отчётности из-за того, что серт заканчивался, а новый оформить не успели.»

Образцы документов для работы с электронной подписью и сертификатами

Открыть список документов
Документ Скачать
Заявление на выпуск квалифицированного сертификата ЭП Скачать
Заявление на аннулирование сертификата ЭП Скачать
Доверенность на получение сертификата ЭП Скачать
Согласие на обработку ПДн для выпуска сертификата ЭП Скачать
Соглашение об использовании ПЭП и НЭП Скачать
Памятка по настройке КЭП для налоговой Скачать
Ответы на вопросы об установке ЭЦП Скачать
Инструкция по установке ЭЦП на компьютер Скачать
Заявление о согласии на переход на КЭДО Скачать
Руководство пользователя Добыто КЭДО Скачать

Как проверить валидность ЭП: рабочие способы

Проверить подпись можно несколькими путями, и для этого не нужна регистрация или платный софт. Логика везде одна: загружаешь документ и файл подписи, система строит цепочку сертификатов, сверяет хэш, лезет в список отзыва — и выдаёт вердикт. Разница только в интерфейсе и в том, какие форматы каждый сервис переваривает.

Портал Госуслуг. Бесплатная проверка живёт по адресу проверки электронной подписи на портале — раздел «Подтверждение подлинности электронного документа». Регистрация не требуется. Работает с отсоединённой подписью в формате PKCS#7: грузите документ, грузите файл подписи (сиг-файл), вводите капчу, жмёте проверить. При успехе портал покажет владельца сертификата, выдавший УЦ и срок действия. Есть режим проверки по значению хэш-функции — для тех, кто не хочет отправлять сам документ третьей стороне. Полезно почитать справку по проверке подписи на Госуслугах, там разобраны все варианты загрузки.

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

Проверка квалифицированной электронной подписи КЭП на портале Госуслуг

КриптоПро и КриптоАРМ. Программы для работы с ЭП умеют проверять присоединённые и отсоединённые подписи локально, на вашей машине, без отправки куда-либо. КриптоАРМ показывает статус подписи, свойства сертификата, строит отчёт. Для PDF есть отдельные плагины вроде КриптоПро Office Signature. Тут важно понимать один момент: разные программы иногда дают разный результат по одному и тому же документу — из-за различий в требованиях к сертификатам и регуляторных пробелов. Так что если сомневаетесь, прогоните подпись через два инструмента.

Окно проверки электронной подписи в программе КриптоПро с результатом

Отдельно про откреплённую подпись. Если вам прислали документ и рядом сиг-файл, проверять надо оба сразу — иначе система не поймёт, к чему подпись относится. Как это устроено технически и как самому создать и проверить такой файл, подробно разобрано в материале про файл с откреплённой УКЭП заявителя — там пошагово, со скриншотами.

В сервисе Добыто проверка встроена прямо в интерфейс: не нужно ставить крипто-провайдер и разбираться с форматами, загрузка идёт через браузер, а на выходе — протокол с полным разбором цепочки и статусом. Ниже — форма для быстрой онлайн-проверки.

Проверка электронной подписи онлайн — сервис Добыто

notify

certificate Проверка электронной подписи

Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.

1 Выберите тип подписи:

Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.

2 Загрузите документ и подпись:

Документ

Файл подписи

Как проверить валидность электронной подписи: пошаговая инструкция

Показать пошаговую инструкцию
  1. Шаг 1. Соберите комплект: сам документ и файл подписи. Для присоединённой подписи документ и подпись лежат в одном файле, для откреплённой — подпись отдельным сиг-файлом рядом.
  2. Шаг 2. Откройте сервис проверки — форму Добыто, портал Госуслуг или программу КриптоАРМ на компьютере.
  3. Шаг 3. Загрузите документ, а при откреплённой подписи — ещё и файл подписи. Укажите верный тип: присоединённая или отсоединённая.
  4. Шаг 4. Запустите проверку. Система построит цепочку сертификатов до головного УЦ, сверит хэш документа и проверит сертификат по списку отзыва.
  5. Шаг 5. Прочитайте результат. Смотрите на три пункта: подпись верна, документ не изменён, сертификат действовал на момент подписания. При необходимости скачайте протокол проверки в PDF.

Что делает подпись невалидной: причины и цена ошибки

Причин, по которым проверка выдаёт красный крест вместо зелёной галочки, не так много. Разберём основные — и во что каждая обходится.

Сертификат истёк на момент подписания. Человек подписал документ просроченным сертификатом. Подпись формально появилась, но силы у неё нет. Цена ошибки прямая: документ придётся переподписывать действующим сертификатом, а если это, скажем, поданный в срок отчёт или заключённая сделка — последствия тянутся дальше самого документа.

Документ изменён после подписания. Хэш при проверке не сойдётся. Даже если правка была технической — добавили строчку, переконвертировали файл — подпись слетает. Именно поэтому нельзя редактировать подписанный документ, надо переподписывать заново.

Следите за нашими каналами

Никакой воды — только важное и новости первыми.

Сертификат отозван. Подписали после того, как сертификат попал в список отзыва. Частый сценарий — подпись уволенного сотрудника, которую вовремя не отозвали, или наоборот, отозвали, а ей продолжили пользоваться. Проверка покажет, что подпись недействительна.

Разорвана цепочка доверия. На машине не установлен корневой сертификат или сертификат УЦ. Подпись техническая корректна, но система не может достроить доверие до головного УЦ и помечает её недоверенной.

Подпись создана несертифицированным средством. Для квалифицированной подписи это фатально: без сертифицированного ФСБ крипто-провайдера подпись квалифицированной не признают, как её ни проверяй.

Мария Ж, HR-эксперт с 13-летним стажем:
«Самый обидный косяк — когда человек подписал кадровый документ, а через полгода в суде выясняется, что метки времени нет, и доказать момент подписания нечем. Есть судебная практика, где увольнение развернули обратно именно потому, что работодатель не смог подтвердить, когда и что подписал работник. Накрутить эти плюшки со штампом времени стоит копейки, а спасает от разбирательства.»

Разбор цепочки сертификатов, форматы подписи, метки времени, отзыв сертификатов у уволенных — на этом месте многие кадровые службы и бухгалтерии буксуют, потому что вопрос лежит на стыке права и криптографии. Мы в Добыто настраиваем проверку и подписание так, чтобы сотрудник просто нажимал кнопку, а вся обвязка с доверием и метками отрабатывала фоном.

Настроить проверку и подписание ЭП

Метка времени и архивное хранение: как сохранить валидность после истечения срока

Классическая подпись живёт ровно столько, сколько живёт сертификат. Дальше проверить её штатно уже не выйдет. А кадровые документы хранятся годами, некоторые — до 50 лет и дольше. Финансовые — тоже долго. Как быть, если через десять лет понадобится доказать, что подпись была валидна?

Ответ — усовершенствованная подпись. К обычной подписи добавляют доказательства подлинности, и их несколько видов. Штамп времени (метка доверенного времени) — специальный документ от доверенной службы, в нём точное время подписания и хэш документа. Метка фиксирует: подписано было именно тогда. ОЦСП-ответ — подтверждение от службы актуальных статусов, что на момент подписания сертификат не был отозван. И архивная метка, которая накрывает предыдущие две сверху и позволяет проверять подпись даже после того, как истёк срок сертификата.

Форматы усовершенствованной подписи в терминологии профи звучат как CAdES-X Long Type 1, CAdES-A. Это те самые «кады»-форматы. Смысл в том, что подпись со временем можно переподписывать поверх — при смене криптоалгоритмов старую метку накрывают новой. Такое обслуживание называют ухаживанием за подписью: чтобы через двадцать лет её всё ещё можно было проверить, за меткой времени надо периодически следить и продлевать.

Схема архивного хранения электронной подписи с метками времени

Практический вывод простой. Если документ должен пережить срок сертификата — а кадровые документы обязаны — подписывайте его усовершенствованной подписью с меткой времени сразу. Добавить метку задним числом, когда сертификат уже умер, не получится. За время работы сервиса Добыто мы закладываем архивное хранение с метками времени в проекты по КЭДО по умолчанию, потому что переподписывать тысячи документов потом — это совсем другие денежки и совсем другие сроки.

Стоимость подключения проверки и подписания ЭП в КЭДО

Отдельно «проверку валидности» как услугу обычно не покупают — она входит в сервис КЭДО вместе с подписанием, хранением и работой с метками времени. Поэтому стоимость считается по тарифу на рабочее место, а итог зависит от численности штата, набора видов подписи и того, нужен ли электронный архив с усовершенствованной подписью.

Тариф Стоимость Условия
Старт — ПЭП и УНЭП, базовые шаблоны, email-поддержка от 30 ₽ за сотрудника / мес до 25 сотрудников
Бизнес — ПЭП, УНЭП и УКЭП, интеграция с 1С, электронный архив, приоритетная поддержка от 50 ₽ за сотрудника / мес от 50 сотрудников, 30 000 ₽ в год
Корпорация — всё из Бизнеса, выделенный сервер, SLA 99.9%, API по запросу персональный менеджер

Итоговая сумма зависит от численности персонала, выбранного тарифа и того, какие виды подписи вы подключаете — электронный архив с усовершенствованной подписью доступен на тарифе Бизнес и выше. Актуальные тарифы сервиса Добыто КЭДО помогут посчитать точнее под ваш штат.

Выводы: что важно знать о валидности ЭП

Валидность электронной подписи держится на нескольких условиях одновременно: подпись соответствует документу, документ не менялся после подписания, сертификат действовал в момент подписания и не был отозван, цепочка доверия строится до головного УЦ, а для квалифицированной подписи средства ЭП сертифицированы ФСБ. Выпадает одно условие — подпись недействительна. Штампик на PDF сам по себе значимости не несёт, её несёт электронный оригинал с файлом подписи, который проходит проверку.

Проверить подпись можно бесплатно и без регистрации: на портале Госуслуг, в программах КриптоПро и КриптоАРМ или через онлайн-форму. Всегда сверяйте три пункта в результате — подпись верна, документ цел, сертификат был жив на момент подписания. При откреплённой подписи загружайте документ и сиг-файл вместе. Помните про два разных срока: срок ключа подписи ограничивает подписание, срок сертификата — проверку.

Если документ должен храниться дольше срока сертификата, подписывайте его усовершенствованной подписью с меткой доверенного времени сразу — задним числом метку не добавить, а без неё юридическая значимость после истечения срока теряется. Для кадровых документов с их длинными сроками хранения это не опция, а необходимость, которую закладывают на старте внедрения КЭДО.

Часто задаваемые вопросы

Чем валидность подписи отличается от действительности сертификата?
Действительность сертификата — это одно из условий валидности подписи, но не единственное. Сертификат может быть действующим, а подпись невалидной, если документ изменили после подписания или разорвана цепочка доверия. И наоборот: подпись остаётся валидной после истечения срока сертификата, если добавлена метка доверенного времени. Валидность — это результат проверки по всем контрольным точкам разом.
Можно ли проверить подпись, если нет интернета?
Да. Программы вроде КриптоАРМ и КриптоПро проверяют подпись локально, на вашем компьютере. Но для проверки сертификата по списку отзыва (CRL) и по ОЦСП интернет всё же нужен, иначе система не узнает, не был ли сертификат отозван. Бумажная распечатка со штампиком подписи содержания документа не заменяет и валидность не подтверждает — проверять надо электронный оригинал.
Останется ли документ действительным после истечения срока сертификата?
Только если при подписании была добавлена метка доверенного времени. С меткой юридическая значимость сохраняется и после того, как сертификат истёк. Без метки доказать, что документ подписан в период действия сертификата, вы не сможете, и подпись потеряет силу. Поэтому для документов с длительным хранением используют усовершенствованные форматы подписи с меткой времени и архивной меткой.
Почему одна и та же подпись проходит проверку в одной программе и не проходит в другой?
Разные средства проверки предъявляют разные требования к сертификатам, плюс есть регуляторные пробелы. Одна программа может считать подпись валидной, другая — отклонить из-за того, как обрабатывает формат или строит цепочку доверия. Если результат критичен, прогоните подпись через два независимых инструмента — например, портал Госуслуг и КриптоАРМ — и сравните протоколы.
Что такое цепочка доверия и почему из-за неё подпись бывает недоверенной?
Цепочка доверия — это иерархия сертификатов: сертификат человека, выше сертификат его УЦ, ещё выше головной УЦ. Для УКЭП на вершине стоит Минцифры. Если на компьютере не установлен корневой сертификат или сертификат УЦ, цепочка рвётся, и подпись помечается недоверенной, хотя технически она корректна. Чинится установкой недостающих сертификатов из цепочки как доверенных.
Какой срок действия у сертификата электронной подписи в 2026 году?
Квалифицированный сертификат от УЦ ФНС действует 15 месяцев. Коммерческие аккредитованные УЦ выдают сертификаты физлицам чаще на 12 месяцев, иногда на 15. Продлить сертификат нельзя — каждый раз выпускается новый с новой парой ключей. Процедуру перевыпуска лучше начинать за две недели до окончания срока, чтобы технический сбой не оставил вас без действующей подписи.
Как проверить откреплённую (отсоединённую) подпись?
Откреплённая подпись лежит отдельным сиг-файлом рядом с документом. Для проверки в сервис нужно загрузить оба файла: и сам документ, и файл подписи. Если загрузить только один, система не поймёт, к чему подпись относится. На Госуслугах для этого выбирают режим отсоединённой подписи в формате PKCS#7. Присоединённая подпись, наоборот, идёт внутри одного файла, и её проверяют загрузкой этого единственного файла.
Валидна ли подпись, если сертификат уже отозван?
Всё, что подписано после включения сертификата в список отзыва, проверку не пройдёт. Но документы, подписанные до отзыва, при наличии ОЦСП-ответа или метки времени остаются валидными — потому что доказательства подтверждают, что на момент подписания сертификат ещё действовал и отозван не был. Именно поэтому усовершенствованная подпись фиксирует статус сертификата в момент подписания.
Можно ли проверить подпись, не раскрывая содержимое документа?
Да. На портале Госуслуг есть режим проверки по значению хэш-функции: вы отправляете не сам документ, а только его цифровой отпечаток, из которого восстановить содержимое невозможно. Это подходит для конфиденциальных документов. Локальные программы вроде КриптоАРМ вообще проверяют подпись на вашем компьютере, ничего никуда не отправляя.
Что проверяет суд, когда оценивает электронную подпись?
Суд смотрит, соответствует ли подпись документу, не был ли документ изменён после подписания, действовал ли сертификат в момент подписания и кто именно подписал. В судебной практике есть дела, где документ признавали неподписанным именно потому, что на момент подписания срок сертификата истёк или документ был модифицирован. Метка доверенного времени и протокол проверки подписи существенно усиливают позицию стороны в споре.
Чем отличается проверка ПЭП от проверки УКЭП?
ПЭП фиксирует только факт подписания и указание на человека, но не проверяет неизменность документа — после подписания текст можно поменять незаметно. Валидность ПЭП подтверждается через соглашение сторон и правила информационной системы, где она применяется. УКЭП проверяется криптографически: сверяется хэш документа, строится цепочка сертификатов, проверяется отзыв. Поэтому полноценная проверка валидности с контролем целостности возможна только для усиленных подписей.
Нужно ли отзывать подпись при увольнении сотрудника?
Если у сотрудника был сертификат, его действительно стоит отозвать после увольнения, обратившись в тот УЦ, который выдавал подпись — через заявление. Удаление из внутреннего реестра компании не означает отзыв в удостоверяющем центре. Если сотрудник работал по машиночитаемой доверенности (МЧД), после увольнения его полномочия по этой должности прекращаются, и доверенность нужно отозвать отдельно.

Валидность подписи — это не разовая проверка, а свойство, которое нужно закладывать в процесс с самого начала: правильный вид ЭП под задачу, полная цепочка доверия на рабочих местах, метки времени для долгого хранения, своевременный отзыв сертификатов у уволенных. Когда это настроено, кадровик просто нажимает кнопку, а документ на выходе проходит любую проверку — на Госуслугах, в КриптоАРМ и в суде.

Мы в Добыто подключили к КЭДО не одну сотню компаний, и в каждом проекте вопрос валидности подписи и архивного хранения решается на старте, а не когда уже прилетел спор. Сервис берёт на себя всю криптографическую обвязку, а вы работаете в привычном интерфейсе.

  • Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — под любой кадровый процесс
  • Вся цепочка подписей фиксируется с метками времени — защита при проверках и в суде
  • Хранение документов до 50 лет с сохранением возможности проверить подпись
  • Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
  • Встроенная проверка и подписание — без установки крипто-провайдера на каждое рабочее место
  • Мобильное приложение для подписания с телефона — в командировке, в отпуске, без похода в отдел кадров
  • Защищённые каналы связи, шифрование данных, соответствие 152-ФЗ, лицензии ФСТЭК и ФСБ

Подключить КЭДО с проверкой валидности ЭП

Насколько публикация полезна?

Нажмите на звезду, чтобы оценить!

Средняя оценка 0 / 5. Количество оценок: 0

Оценок пока нет. Поставьте оценку первым.

Поделиться:

Попробуйте ДОБЫТО КЭДО

Подписывайте кадровые документы электронно. Оставьте заявку и начните работу.