ЭЦП не работает после обновления браузера или ОС — типовая ситуация, когда подпись вчера ставилась, а сегодня сайт налоговой или площадка перестали её видеть. Разберём, почему так происходит, какие три причины встречаются чаще всего, что чинится за пять минут перенастройкой, а что требует переустановки криптопровайдера, и как понять, обновлять систему дальше или откатываться назад. Если нужно просто убедиться, что конкретный файл подписан корректно и сертификат действует, это решается через проверку электронной подписи онлайн — туда можно вернуться на любом этапе диагностики.
Автор статьи — Мария Ж, юрист со стажем более 20 лет, соучредитель сервиса КЭДО Добыто, спикер на конференциях по КЭДО и юриспруденции, судебный эксперт в сфере корпоративного и трудового права. Занимается наймом персонала более 13 лет. Автор более 1000 статей о цифровой подписи, трудовом праве, КЭДО и HR.
Почему ЭЦП перестаёт работать после обновления браузера или ОС
Сама подпись не ломается. Закрытый ключ как лежал на токене, так и лежит, сертификат как был действителен, так и действует. Ломается цепочка между подписью и тем местом, где вы её применяете. Эта цепочка длинная: токен — драйвер носителя — криптопровайдер (КриптоПро CSP) — браузерный плагин — расширение в браузере — сам сайт. Обновление любого звена рвёт связь со следующим.
Браузер обновился — и старое расширение крипто-плагина отключилось или стало несовместимым. ОС накатила крупный апдейт (тот же переход на новую сборку Windows 11) — и криптопровайдер, который тестировался под прежнюю версию, начинает вести себя непредсказуемо. Это не теория. КриптоПро CSP 5.0 R2 в своё время отдельно дорабатывали под выход Windows 11, потому что без этой доработки установка падала с ошибкой. А Windows XP вообще перестала поддерживаться начиная с версии 5.0 R3 — кто обновил систему мимо совместимой версии, остался без рабочей подписи.
В практике Добыто мы видим это в каждом втором обращении по «внезапно не подписывается»: человек ничего руками не трогал, просто согласился на автообновление — винды, хрома или яндекс-браузера. И всё. Связка рассыпалась.
Мария Ж, специалист по цифровой подписи и КЭДО:
«Первое, что я говорю человеку с «ЭЦП сломалась»: ничего она не сломалась. Закрытка на месте, серт живой. Проверьте сначала, видит ли крипто-провайдер вашу флешку, а уже потом паникуйте. В девяти случаях из десяти проблема в плагине, который браузер после обновления молча выключил.»
Три сценария, которые встречаются чаще всего
Обновился браузер — слетел крипто-плагин. Расширение КриптоПро ЭЦП Browser Plug-in либо отключилось, либо браузер перестал считать его доверенным. Самый частый и самый безобидный случай. Лечится переустановкой расширения, минут пять.
Обновилась ОС — криптопровайдер несовместим с новой версией. Тут сложнее. Если КриптоПро CSP старой версии, а система ушла вперёд, придётся обновлять сам криптопровайдер. На Windows 10 сборки 1803 и выше, например, корректно работает только КриптоПро CSP 4.0 R3 и новее — всё, что старше, начинает сыпать ошибками.
Обновилась ОС — слетели драйверы токена и пути к сертификатам. Система переустановила или обновила драйверы USB, и Рутокен или JaCarta больше не определяются как ключевой носитель. Подпись физически есть, но провайдер её не видит.
Что проверить в первую очередь: быстрая диагностика
Прежде чем что-то переустанавливать, надо понять, на каком звене порвалась цепочка. Логика простая: идём от железа к сайту. Сначала смотрим, видит ли система токен, потом — видит ли его криптопровайдер, потом — работает ли плагин в браузере, и только потом грешим на сам сайт.
Откройте КриптоПро CSP, вкладка «Сервис», кнопка «Просмотреть сертификаты в контейнере». Если контейнер виден и сертификат открывается — нижние звенья цепочки целы, проблема выше, в браузере или плагине. Если контейнер не виден или провайдер вообще не запускается — дело в драйвере токена или в самом криптопровайдере, который не пережил обновление ОС.
Отдельно проверьте срок сертификата. Бывает, что человек грешит на обновление винды, а у него просто закончился сертификат или истёк срок действия самого криптопровайдера. Срок жизни сертификата КЭП — обычно 12-15 месяцев, и совпадение с датой апдейта чисто случайное. Если есть сомнения, что подпись вообще валидна — прогоните любой подписанный файл через сервис проверки, он покажет и статус сертификата, и целостность подписи.
Как проверить ЭЦП после обновления: пошаговая инструкция
Показать пошаговую инструкцию
- Шаг 1. Подключите токен в USB-порт и убедитесь, что система его «увидела» — индикатор на носителе обычно загорается, в диспетчере устройств появляется устройство Рутокен или JaCarta.
- Шаг 2. Откройте КриптоПро CSP, вкладка «Сервис» — «Просмотреть сертификаты в контейнере» — «Обзор». Если контейнер виден, нижняя часть цепочки цела.
- Шаг 3. Откройте свойства сертификата и проверьте срок действия. Истёкший сертификат не имеет отношения к обновлению — его нужно перевыпускать.
- Шаг 4. Зайдите в расширения браузера и проверьте, включён ли крипто-плагин. После обновления браузер часто выключает его сам.
- Шаг 5. Откройте страницу проверки работы плагина на сайте КриптоПро — она покажет, видит ли браузер криптопровайдер. Зелёная отметка означает, что связка восстановлена.
Проверка электронной подписи онлайн — сервис Добыто
Проверка электронной подписи
Загрузите файл подписи или пару файлов для открепленной подписи.
Сервис проверит целостность подписи и покажет сведения о сертификате.
1 Выберите тип подписи:
Для присоединенной подписи нужен один файл. Для открепленной проверки требуются документ и файл подписи.
2 Загрузите документ и подпись:
Документ
Файл подписи
Браузер обновился — что делать с крипто-плагином
Самый частый и самый простой случай. Браузерный плагин КриптоПро ЭЦП Browser Plug-in — это две сущности, которые путают: есть само ПО плагина, которое ставится в систему, и есть расширение, которое включается в браузере. Обновление браузера трогает второе. Расширение либо отключается, либо помечается как несовместимое, и сайт перестаёт получать доступ к подписи.
Что делаем. Заходим в расширения браузера, ищем крипто-плагин, включаем его. Если расширения там нет совсем — переустанавливаем его из магазина расширений вашего браузера. Само ПО плагина при этом переустанавливать не нужно, оно в системе осталось. После этого перезапускаем браузер — именно перезапускаем, а не просто закрываем вкладку, — и проверяем работу плагина на тестовой странице КриптоПро.
Отдельная история — переход на новый браузер. Старый Internet Explorer, на котором годами держались входы в кабинеты налоговой и площадки госзакупок, фактически выведен из обращения. Те, кто работал через него, после обновления системы остаются без привычного входа. Здесь уже не перенастройка, а смена браузера: современный Яндекс.Браузер, например, КриптоПро CSP 5.0 R2 поддерживает без дополнительных исследований по оценке влияния среды. То есть на актуальной связке проблема входа через старый IE решается переездом на поддерживаемый браузер, а не плясками вокруг устаревшего.
Мария Ж, специалист по трудовому праву и кадровому ЭДО:
«Классика — человек годами заходил в налоговую через старенький Internet Explorer, никому не нужный, обновил систему, и эксплорера больше нет. Начинается паника. А надо-то просто перенастроить вход на нормальный браузер. Денюжки за это платить никому не нужно, всё делается руками за полчаса.»
ОС обновилась — криптопровайдер несовместим
Если диагностика показала, что КриптоПро CSP не видит контейнер или вообще не запускается после крупного апдейта системы — проблема в версии криптопровайдера. Новая сборка ОС ушла вперёд, а установленный криптопровайдер под неё не рассчитан.
Привязка версий жёсткая, и её стоит знать. Windows 11 поддерживается начиная с пятой версии КриптоПро CSP — в четвёртой её нет, поэтому обновление до 11-й винды на старом криптопровайдере гарантированно ломает подпись. Версия 5.0 R2 была последней, неофициально работавшей с Windows XP; начиная с 5.0 R3 поддержка XP убрана. Линейка 5.0 (релизы R1, R2, R3) сертифицирована, и сертификаты действуют до 1 мая 2027 года. А вот сертификат на четвёртую версию действовал до 15 января 2026 года и продлеваться, по заявлениям разработчика, дальше не планировался — то есть сидеть на четвёрке становится прямым риском.
Что делаем. Обновляем КриптоПро CSP до версии, совместимой с вашей текущей ОС. Если переходите с четвёртой версии на пятую линейку — покупать полную лицензию не нужно, достаточно лицензии на обновление, она дешевле. После установки нового криптопровайдера придётся заново установить личный сертификат с контейнера через «Сервис» — «Просмотреть сертификаты в контейнере». В сервисе Добыто при сопровождении клиентов мы закладываем этот шаг как обязательный после любого крупного обновления ОС — переустановили провайдер, сразу проверили, что сертификат подтянулся, и только потом отдаём человека работать.
Образцы документов и памятки по работе с электронной подписью
Открыть список документов
| Документ | Скачать |
|---|---|
| Инструкция по установке ЭЦП на компьютер | Скачать |
| Памятка по настройке КЭП для налоговой | Скачать |
| Ответы на вопросы об установке ЭЦП | Скачать |
| Руководство пользователя Добыто КЭДО | Скачать |
| Шаблон соглашения по ЭДО | Скачать |
| Приказ о введении КЭДО | Скачать |
| Правила обработки персональных данных | Скачать |
| Методические рекомендации по внедрению ЭДО | Скачать |
| Криптографическая защита информации (ГОСТ) | Скачать |
| Приказ о КЭДО | Скачать |
Если после обновления ОС подпись не подтягивается, а вы не уверены, какую версию криптопровайдера ставить под вашу систему, — это тот момент, где проще не угадывать. Поставите несовместимую версию — получите ошибки установки и потеряете полдня. Наши специалисты в Добыто подбирают версию КриптоПро под конкретную ОС и переустанавливают связку до рабочего состояния, не трогая ваш сертификат.
ОС обновилась — слетели драйверы токена
Третий сценарий: криптопровайдер запускается, но контейнер не видит. После обновления система переустановила или заменила драйверы USB-устройств, и токен — Рутокен, JaCarta, eSmart — больше не определяется как ключевой носитель. Подпись лежит на флешке нетронутой, но дотянуться до неё провайдер не может.
Что делаем. Переустанавливаем драйвер именно вашего носителя. Сначала визуально или по документам определяем тип токена, потом качаем установочный пакет с сайта производителя: для Рутокена — rutoken.ru, для JaCarta — aladdin-rd.ru, для eSmart — esmart.ru. Ставим драйвер в режиме по умолчанию, перезагружаемся, снова подключаем токен. После этого контейнер должен появиться в КриптоПро CSP.
Нюанс, на котором спотыкаются: если у вас несколько фирм и несколько сертификатов на разных токенах, после обновления может «потеряться» только часть из них. Тогда заново помещаем сертификаты в менеджер сертификатов — тот, который ставится с диском или из облака от удостоверяющего центра, — и обновляем список сертификатов с подключённой флешки. Иногда вторая фирма не входит ровно до тех пор, пока не обновишь сертификаты на носителе.
Мария Ж, судебный эксперт по трудовому праву:
«Видела человека, который три дня сидел и не мог понять, почему одна фирма заходит, а вторая нет. А там просто после переустановки винды слетел драйвер, и беленький атрибутный серт не подтянулся в менеджер. Вставил флешку, обновил сертификаты — всё зашло. Не надо в таких случаях винду по новой ставить, как многие порываются.»
Можно ли откатить обновление и стоит ли
Соблазн откатить апдейт винды или вернуть старую версию браузера понятен — вчера же работало. Иногда это и правда быстрый выход: откатили крупное обновление Windows, подпись ожила, выдохнули. Но я отношусь к этому со скепсисом. Откат — это лечение симптома. Система всё равно потом обновится, автообновление браузера никто не отменял, и вы получите ту же проблему через месяц, только в более неудобный момент — например, в последний день сдачи отчётности.
Правильнее не откатываться, а привести связку в соответствие новой версии: обновить криптопровайдер, переустановить плагин, обновить драйверы. Один раз сделали под актуальную ОС — и дальше живёте спокойно. Откат оправдан только как временная мера, когда подпись нужна прямо сейчас, а времени разбираться нет. Будет ли работать откат завтра? Не факт. А вот совместимая версия будет.
И ещё. Перед тем как обновлять рабочую систему, на которой держится подпись, есть смысл проверить, поддерживает ли ваша версия КриптоПро CSP ту ОС, на которую вы собираетесь переходить. Это пять минут до апдейта против полудня восстановления после. За время сопровождения клиентов в Добыто мы это правило вбили в регламент: сначала проверяем совместимость, потом разрешаем обновление, а не наоборот.
Стоимость восстановления и сопровождения ЭЦП в сервисе Добыто
Отдельной платы «за починку подписи после обновления» в Добыто нет — работа с электронной подписью, её настройка и поддержка входят в тарифы сервиса КЭДО. Стоимость зависит от численности сотрудников, выбранного тарифа и набора подключаемых функций — какие виды подписи нужны, требуется ли интеграция с 1С и электронный архив.
| Тариф | Стоимость | Условия |
|---|---|---|
| Старт — для небольших компаний, начинающих переход на КЭДО (ПЭП и УНЭП, базовые шаблоны, email-поддержка) | от 30 ₽ за сотрудника / мес | до 25 сотрудников |
| Бизнес — для среднего бизнеса (ПЭП, УНЭП и УКЭП, кастомные шаблоны, интеграция с 1С, электронный архив, приоритетная поддержка) | от 50 ₽ за сотрудника / мес | мин. оплата 50 сотрудников — 30 000 ₽ в год |
| Корпорация — для крупного бизнеса с расширенными требованиями (всё из тарифа Бизнес, выделенный сервер, SLA 99.9%, персональный менеджер, API) | По запросу | SLA 99.9% |
Итоговая сумма складывается из численности персонала и набора модулей под ваши задачи — актуальные тарифы сервиса Добыто помогут сориентироваться по составу и рассчитать стоимость точнее.
Выводы: что делать, если ЭЦП не работает после обновления
Сама подпись после обновления браузера или ОС не ломается — рвётся цепочка между токеном и сайтом. Диагностику ведём от железа к сайту: видит ли систему токен, видит ли контейнер криптопровайдер, включён ли плагин в браузере, действует ли сертификат. Чаще всего проблема в браузерном плагине, который после обновления отключился — это лечится переустановкой расширения за пять минут.
Если КриптоПро CSP не видит контейнер после крупного апдейта ОС, дело в версии криптопровайдера. Windows 11 поддерживается с пятой версии, Windows XP не поддерживается с 5.0 R3, а сертификат на четвёртую версию действовал лишь до 15 января 2026 года. Решение — обновить криптопровайдер до совместимой версии и заново установить личный сертификат с контейнера. Если же провайдер запускается, но контейнер не видит, переустанавливаем драйвер носителя с сайта производителя — Рутокен, JaCarta или eSmart.
Откат обновления — временная мера, а не решение: система обновится снова. Надёжнее один раз привести связку в соответствие актуальной ОС и перед любым крупным апдейтом заранее проверять совместимость установленной версии КриптоПро с новой системой. Это экономит часы восстановления в самый неподходящий момент.
Часто задаваемые вопросы
После обновления Chrome подпись перестала видеться на сайте. Что делать первым?
Обновил Windows до 11 — КриптоПро не запускается. В чём причина?
Нужно ли заново выпускать сертификат после обновления системы?
Можно ли откатить обновление ОС, чтобы подпись снова заработала?
КриптоПро видит токен, но контейнер пустой. Почему?
Раньше заходил в налоговую через Internet Explorer, теперь его нет. Как быть?
Как понять, что проблема в плагине, а не в самом криптопровайдере?
Какую версию КриптоПро CSP ставить под Windows 10 после обновления?
После переустановки криптопровайдера выходит ошибка инсталляции крипто-драйвера. Что делать?
Несколько фирм на разных токенах: после обновления входит только часть. Почему?
Как проверить, что подпись после восстановления действительно рабочая?
Нужно ли платить за переход с четвёртой версии КриптоПро на пятую?
Когда подпись «отвалилась» в разгар отчётности или подписания кадровых документов, разбираться в версиях криптопровайдера и драйверах токена некогда. Добыто закрывает работу с электронной подписью под ключ: подбираем версию КриптоПро под вашу ОС, восстанавливаем связку браузер-плагин-токен, настраиваем подписание так, чтобы следующее обновление системы не выбивало вас из колеи.
Сервис работает со всеми тремя видами подписей и сопровождает клиента до того момента, когда всё подписывается без сбоев. Это не разовая починка, а настроенный процесс, в котором подпись остаётся рабочей после любых апдейтов.
- Поддержка всех трёх видов подписей — ПЭП, УНЭП, УКЭП — для любого кадрового и отчётного процесса
- Мобильное приложение для подписания документов с телефона — без привязки к настроенному рабочему месту
- Вся цепочка подписей фиксируется с отметками времени — защита при проверках и в суде
- Юридическая значимость по 63-ФЗ и 377-ФЗ — электронный документ равносилен бумажному
- Сопровождение клиента до первых 50 подписаний — ведём до полностью самостоятельной работы
- Защищённые каналы связи и шифрование данных, соответствие 152-ФЗ
- Готовый коннектор с 1С — отправка на подписание одной кнопкой из привычного интерфейса