Почему сертификат недействителен на госуслугах? - коротко
Срок действия сертификата истёк или он был отозван центром сертификации, поэтому система государственных услуг отклоняет его. Кроме того, используемый алгоритм подписи может не соответствовать требованиям сервиса.
Почему сертификат недействителен на госуслугах? - развернуто
Сертификат может оказаться недействительным при попытке воспользоваться государственными сервисами по нескольким причинам, и каждая из них требует отдельного внимания.
Во‑первых, срок действия сертификата истёк. Государственные порталы строго проверяют даты начала и окончания действия, и любой сертификат, у которого текущая дата находится за пределами этого диапазона, автоматически отклоняется.
Во‑вторых, сертификат был отозван. При обнаружении компрометации ключа, нарушения условий использования или по другим причинам центр сертификации может разместить запись об отзыве в реестре. Порталы регулярно запрашивают актуальные списки отозванных сертификатов и блокируют любые попытки их применения.
В‑третьих, цепочка доверия нарушена. Если промежуточные или корневые сертификаты, используемые для построения цепочки, отсутствуют в хранилище доверенных корней, система не может подтвердить подлинность сертификата. Частой ошибкой является установка только конечного сертификата без необходимых промежуточных.
В‑четвёртых, формат сертификата не соответствует требованиям. Государственные сервисы требуют сертификаты в формате PKCS#12 (файл .p12 или .pfx) с защищённым паролем. При загрузке сертификата в другом формате (например, PEM) система не распознаёт его и отклоняет запрос.
В‑пятых, используемый алгоритм подписи устарел. Алгоритмы SHA‑1 и RSA‑1024 считаются небезопасными, и большинство государственных систем требуют SHA‑256 или более сильные схемы. Сертификат, подписанный слабым алгоритмом, считается недействительным.
В‑шестых, сертификат выдан не тем типом, который требуется. Для доступа к госуслугам часто нужен клиентский сертификат, а не серверный. Если пользователь загружает сертификат, предназначенный для HTTPS‑серверов, система не сможет выполнить проверку атрибутов владельца и отклонит запрос.
В‑седьмых, в сертификате отсутствуют обязательные атрибуты (Subject, OGRN, ИНН и т.п.). Государственные порталы проверяют наличие специфических полей, подтверждающих юридический статус организации или физического лица. Неполный набор данных делает сертификат непригодным.
В‑восьмых, сертификат выдан не аккредитованным удостоверяющим центром. В России только определённые центры имеют право выпускать сертификаты для электронных государственных сервисов. Сертификат, полученный от стороннего или международного центра, не входит в список доверенных и будет отклонён.
В‑девятых, ошибки при установке. Неправильные права доступа к файлу, отсутствие пароля или его ввод с ошибкой, а также несовместимость с используемым браузером/операционной системой могут привести к тому, что система не сможет корректно прочитать сертификат.
В‑десятых, несоответствие политике использования. Некоторые услуги требуют наличия квалифицированного электронного сертификата (КЭП), а обычный сертификат электронной подписи (ЭП) не удовлетворяет требованиям. Попытка воспользоваться обычным сертификатом приводит к отказу.
Если хотя бы один из перечисленных пунктов имеет место, система государственного портала автоматически пометит сертификат как недействительный и не позволит продолжить работу. Чтобы устранить проблему, необходимо проверить срок действия, статус отзыва, полную цепочку доверия, соответствие формата и алгоритмов, а также убедиться, что сертификат выдан аккредитованным центром и содержит все требуемые атрибуты. После исправления всех несоответствий доступ к госуслугам будет восстановлен.