После обновления комплексной до 2.4.7.127 при получении электронных документов на вкладке Подписи написано, что подпись контрагента не верна. Но после того как на нее тыкаешь правой кнопкой и жмешь проверить подпись она становиться верной. На сколько я понимаю первая проверка проходит на сервере и там нет корневых сертификатов. Но почему до обновления все было Ок или это 1Совцы перенесли проверку в фоновое задание в новом релизе. И главное что теперь делать? Документов много и в каждом тыкать тоже не вариант.

Никто не пользуется встроенным электронным документооборотом с контрагентами?

>  там нет корневых сертификатов

ты без них мог подписать документы ?

> ты без них мог подписать документы ?

Проверяются подписи контрагента, а не наша. И не дает подписать документ, т.к. подпись контрагента не верна, пока не проверишь ее вручную.
После проверки, все подписывает. Это мое предположение, что они скорее всего стали проверяться на сервере. Потому что раньше до обновления все было Ок.

так установи на сервере корневой сертификат

У контрагентов разные операторы и у каждого свой сертификат, как то не удобно будет каждый раз ставить эти сертификаты. Ради интереса можно будет проверить с одним.

Так в этом смысл криптографии с открытыми ключами, не установив корневые сертификаты невозможно проверять ЭЦП. Устанавливая корневой сертификат ты как раз даешь системе команду доверять всем сертификатам подписанным этими корневыми и соответственно ЭЦП.

Сейчас выпускаемые сертификаты (по ГОСТ-2012) все завязаны на "самый главный" корневой - сертификат Минкомсвязи. Достаточно установить его один.
Те, которые выпущены раньше(по ГОСТ-2001) - да. Там корневые могут быть разными.

(7) Эээ разве не нужна правильная цепочка от корневого из промежуточных?

Если главный (первый в цепочке) стоит в доверенных, то все, заверенные им, тоже доверенные. Проверять промежуточные на доверие нет смысла.
Но! Промежуточные корневые можно проверять на, к примеру, на срок действия, или еще на что... список отзывов там или еще..
Поэтому в общем случае при самой тщательной и доскональной проверке, конечно, лучше установить всю цепочку корневых сертификатов.
Но вот в данном случае мне хватало и одного главного корневого корневого. Не знаю, почему так, промежуточные корневые я точно не устанавливал.

ps: А вообще то.. хм.. ты заставил меня засомневаться, я НЕ проверял, а может, они (промежуточные) уже и были кем-то установлены.

(9) Совершенно не правильно, объяснять лень.

(10) Ссылки будет достаточно

(10) А-а-а, так ты не помнишь ту историю, когда у Федерального Казначейства получился корневой сертификат, у которого в цепочке корневых был с истекшим сроком действия?
А я не только видел, но и работал!
Федеральное Казначейство в прошлом лоханулось. И что? - Да ничего, работали с такими ЭЦП все УФК по всей стране аж бегом.
При этом, хочу сразу отметить, тот же кабинет юрлица на налог.ру эти ЭЦП напрочь не принимал.
Просто казна отключила проверку на срок действия да и все.

Вот тот сертификат, можешь сам разложить на цепочку корневых и поизучать
https://cloud.mail.ru/public/5qUq/4jPaLWjHa

да собственно вот и та ветка
смотри пост (8)
Вход юр лица на nalog.ru (регистрация кассы)

(12) Маленький момент, что сертификаты продолжают действовать (работать для проверки) и после окончания срока действия.
Иначе как поверять/расшифровывать подписанные/зашифрованные старые файлы со старыми КЭП?

А то что они проверку отключили и разрешали работать актуальной датой с неправильным сертификатом, у которого один из корневых просрочен ну это на их совести.

(11) PKI

(14) Э нет, там не просто закончился срок действия.
Там изначально самоподписанный корневой сертификат, если подходить формально, был неправильным. Недостоверным с самого момента выпуска.
Корневой сертификат ФК выпущен сроком до июня 2018, а удостоверяющий его корневой сертификат УЦ1 до июля 2017. Вот как можно выпустить (удостоверить)  корневой сертификат на срок действия больший, чем удостоверяющий его сертификат?

А потом этим недостоверным корневым удостоверять сертификаты физлиц и юрлиц.

И самое прикольное - эти сертификаты физлиц и юрлиц прекрасно действовали не только в системе УФК, а и в других - на госуслугах , на налог.ру, на сайте ФСС.
Сам пользовал. До тех пор, пока не прекратился срок сертификата УЦ1.
Это говорит о том, что реально на самом деле никто не проверял нигде -  ни на госуслугах, ни на налог, ни на фсс - реально всю цепочку промежуточных корневых на соотношение реальных сроков действия всей цепочки.

(15) а что PKI? к PKI добавь еще одностороннее транзитивное доверие :)
и скажи, что не так с упомянутым в (9) сертификатом Минкомсвязи и односторонним транзитивным доверием?

ps: Теория про PKI - это хорошо, это славно. А вот интересно, как эта вся теория согласуется с реальным сертификатом Федерального Казначейства. :)