Формат CAdES-XL добавляет к электронной подписи доказательства достоверности сертификата подписанта и штампа времени. Благодаря этому обеспечивается офлайн-доступ к информации, необходимой для проверки подписи, и предотвращается возможность ее утери.

В сертификате по умолчанию указана информация о том, как и где необходимо получать доказательства достоверности:

•в службе OCSP. В этом случае доверенный сервер удостоверяющего центра (УЦ), который работает по протоколу OCSP, в режиме онлайн проверяет статус отзыва данного сертификата. По результату проверки формирует OCSP-ответ с информацией о сертификате: действующий или отозван;

•по списку отозванных сертификатов (CRL). Это список, который подписан и опубликован удостоверяющим центром. В зависимости от УЦ список может публиковаться, например, 1 раз в день или в месяц.

Схема сбора доказательств достоверности:

1.Проверяется, указан ли в сертификате адрес службы OCSP.

2.Если адрес указан, то система отправляет запрос на сервер OCSP. Когда ответ с доказательствами достоверности получен, подпись усовершенствуется.

3.Если в сертификате нет адреса OCSP или ответ не получен, то доказательства достоверности проверяются по списку отозванных сертификатов (CRL).

Примечание. Список CRL не проверяется, если задан параметр ADVANCED_SIGNATURE_THUMBPRINTS_IA_CERTIFICATE_THAT_REQUIRE
_OCSP_RESPONSE_FOR_SIGNATORY_CERTIFICATE. В этом случае, если OCSP-ответ не получен, то система записывает исключение в лог-файл сервиса асинхронных событий, и усовершенствование откладывается до получения следующего ответа.

4.Для получения списка отозванных сертификатов система скачивает CRL по адресу, указанному в сертификате. При скачивании проверяется максимально допустимый размер, указанный в параметре ADVANCED_SIGNATURE_MAX_CRL_SIZE_KB.