Начнем с того, что Ваше утверждение "С одной стороны, это их корпоративная система и они решают что им делать и как, согласно ФЗ №1." в части УЦ не верна.
Есть УЦ. Он не бывает корпоративным или иным. По 1-ФЗ, бывают УЦ предоставляющие услуги для корпоративных систем и бывают УЦ предоставляющие услуги для информационных общего пользования. (часть 1 статьи 8 1-ФЗ).
При этом к УЦ предоставляющим услуги для информационных общего пользования согласно этой же части 1 статьи 8 1-ФЗ предъявляются требования, устанавливаемые Правительством РФ. Требований нет, а значит и нет лигитимности деятельности УЦ, предоставляющих услуги для информационных общего пользования.
Поэтому мы и говорим теперь просто об УЦ.
Согласно части 2 статьи 9 1-ФЗ, УЦ (любой, ибо тут в 1-ФЗ не говориться какой УЦ) изготавливает сертификат ключа подписи ТОЛЬКО на основании заявления, подписанного владельцем сертификата ключа подписи. Собственноручно!
На основании вышеизложенно, деятельность УЦ по изготовлению сертификата ключе подписи на основании "заявления в которых просит выпустить сертификаты на пользователей сторонних организаций (соответственно, с указанием наименований организаций, должностей)." признается не отвечающей действующему законодательству РФ, сертификаты ключей подписей признаются получеными незаконным путем. ЭЦП, сформированные с использованием таких сертификатов признаются недействительными (не имеющими юридической силы). Это 1 вариант "атаки" на ЭЦП, сертификат, УЦ. Есть второй вариант. Лицо, "обвиняемое" в том, что он владелец сертификата ключа подписи но заинтересованное в "непризнании" ЭЦП в споре и конфликте, сделаю такое завление "Данная ЭЦП сформирована не мною, так как я не являюсь владельцем данного сертификата ключа подписи". В этом случае, на УЦ падает бремя доказывания, что данный ключ подписи и сертификат ключа подписи принадледжат этому лицу. Дальше УЦ принесет какие то заявления и документы подтверждающие изготовление и выдачу сертификата ключа подпис. На это лицо, гордо встав в позу Наполеона, делает следующее заявление "Я не подавал завление на сертификат. В заявлении на изготовлении сертификата нет моей собственноручной подписи, как того требует часть 2 статьи 9 1-ФЗ "Об ЭЦП"!" И всё, пипец наступил юридической силе электронного документа, удостовренного ЭЦП...
УЦ может Организатору Системы делегировать по договору право и обязанность по сбору заявлений, оформленных надлежащим образом, от участников корпоративной информационной системы. И может делегировать по договору право и обязанность по передаче владельцам их ключей и сертификатов ключей подписи при условии сохранения закрытого ключа в тайне (например, упаковывая в спец пакеты типа SecurePack ). Но не надо заниматься профанацией! :-) Везде должна быть мера.
Кстати, о птичках... "просит выпустить сертификаты на пользователей сторонних организаций (соответственно, с указанием наименований организаций, должностей). " Тут тоже большая и вонючая собака зарыта!
УЦ по 1-ФЗ отвечает за достоверность сведений указанных в сертификате ключа подписи. Напрямую или в порядке регресса. А где у УЦ доказатьльство, что владелец сертификата ключа подписи, у которого в сертификате занесены организация и должность, действительно является сотрудником данной организации и имеет право действовать от имени этой организации? Заявлени Организатора Системы силы не имеет. Должно быть заявление от имени руководителя организации, сотрудником которой является владелец сертификата ключа подписи. Поэтому хорошей (безопасной) практикой является что заявление на изготовление сертификата подписывает не только сам владелец, но и руководитель организации и подпись руководителя заверяется оттиском печати организации.
