Что говорит закон (63‑ФЗ): когда КЭП считается действительной

При проверке квалифицированной электронной подписи важно помнить принципа из 63‑ФЗ:

• Проверка КЭП должна выполняться сертифицированным (подтверждённым) средством электронной подписи, соответствующим требованиям законодательства.
• Квалифицированная электронная подпись признаётся действительной, если квалифицированный сертификат:
  • был действителен на момент подписания (и этот момент можно достоверно установить, например, по метке доверенного времени), или
  • действителен на день проверки, если момент подписания не определён.

Базовые форматы подписи: почему "без метки" всё проще (и печальнее)

На практике часто встречаются два сценария:

1) CAdES-BES (без доверенной метки времени)

Это подпись «как есть»: в ней нет надёжного доказательства когда именно она была создана.

Если сертификат уже истёк, то при такой подписи проверяющий сервис нередко трактует результат строго:

• момент подписания не доказан → ориентируемся на дату проверки → сертификат недействителен → подпись недействительна.

2) CAdES-T (с меткой доверенного времени, TSP)

В подпись добавляется метка времени от службы доверенного времени. Она фиксирует, что на определённый момент подпись уже существовала.

Но здесь появляется тонкость: метка времени подтверждает момент существования подписи, но сама по себе не определяет статус сертификата в прошлом (отозван/не отозван) на тот момент — если внутри подписи нет дополнительных атрибутов для проверки.

Эксперимент №1: проверяем «свежую» подпись (сертификат действителен)

Для чистоты сравнения берём документ, подписанный действующим сертификатом, и проверяем в трёх решениях:

• Госуслуги
• Контур.Крипто
• КриптоАРМ ГОСТ

Результат ожидаемый: во всех случаях «Подпись действительна».

Обычно сервисы проверяют:

• целостность документа (не менялся ли он после подписания);
• цепочку сертификатов;
• обращаются к актуальным данным об отзыве (CRL/OCSP).

Важное уточнение: срок действия ключа и срок действия сертификата — не одно и то же

У электронной подписи есть две разные "временные рамки", которые часто путают.

1) Срок действия закрытого ключа (ключа подписи)

Это срок криптографической «годности» ключа, которым вы подписываете документ.

Если подписывать после истечения срока действия ключа, такие подписи корректными считаться не должны.

2) Срок действия сертификата (ключа проверки подписи)

Сертификат используется, чтобы другие могли проверить подпись и доверять открытому ключу.

При этом в нормативной логике срок хранения/проверки может быть существенно больше, чем срок «жизни» самого сертификата в повседневном обороте.

Эксперимент №2: проверяем подпись через 2 года после истечения сертификата

Берём документ, который был подписан 2 года назад, когда сертификат был действителен, и в подписи есть метка доверенного времени (CAdES‑T). Проверяем «сегодня», когда срок сертификата уже закончился.

Почему результаты могут отличаться

Здесь ключевой момент в том, как именно система проверяет статус сертификата и может ли она проверить его "в прошлом".

КриптоАРМ ГОСТ (клиентское приложение)

Клиентская проверка обычно опирается на доступные в момент проверки источники статуса (CRL/OCSP) и не может иметь "архив" этих данных за прошлые периоды.

Если приложению нужно подтвердить статус сертификата, а проверить его на историческую дату оно технически не может, логика часто сводится к проверке «на сейчас».

А «на сейчас» сертификат истёк — и общий итог может отображаться как недействительно (в зависимости от политики/настроек проверки и трактовки результата).

Онлайн‑сервисы (Госуслуги, Контур.Крипто)

Онлайн‑проверка потенциально может использовать:

• собственные механизмы накопления и хранения данных проверки;
• архивы CRL;
• внутренние правила интерпретации статусов.

Точные детали реализации конкретных сервисов, как правило, не раскрываются публично, поэтому важно фиксировать главное:

Как избежать проблем с долгосрочной проверкой.

Если документы должны уверенно проверяться спустя годы (контракты, бухгалтерские и кадровые архивы, судебные споры), стоит заранее выбирать форматы подписи, пригодные для долгосрочной валидации:

• CAdES‑XLT1
• CAdES‑A

В таких форматах подпись может включать дополнительные атрибуты, которые помогают проверяющей стороне подтвердить валидность даже после истечения сертификата (при условии, что система проверки эти форматы поддерживает).

Что с юридической силой: «истёк сертификат = документ недействителен» — не всегда

Важно разделять:

• технический результат конкретной проверки в конкретном сервисе, и
• юридическую действительность документа.

В общем подходе 63‑ФЗ исходит из того, что юридические споры о действительности подписи/документов разрешаются установленным порядком, в том числе в судебном.

Будущее: доверенная третья сторона (ДТС)

Для снижения числа спорных ситуаций развивается концепция доверенной третьей стороны (закреплена в законодательстве). Идея в том, что ДТС сможет:

• подтверждать действительность электронных подписей,
• выдавать квитанции/результаты проверок,
• стандартизировать доверенную проверку для долгих сроков хранения.

Это должно уменьшить количество конфликтов "сервис сказал так, другой — иначе".

Итоги