ВАЖНО! 31.12.2018 заканчивается срок действия сертификата соответствия по требованиям безопасности информации на СКЗИ «КриптоПро CSP» версии 3.6. Для обеспечения непрерывности действующих технологических процессов, связанных с использованием средств электронной подписи в информационных системах, необходимо до указанного срока заменить устаревшие версии СКЗИ «КриптоПро CSP» до версии не ниже 4.0 R4.

Думается, что путаете несколько понятий в одну кучу. Технически от смены года ничего не изменилось, однако есть заморочки нормативного характера.
1) Для работы с гост-2001 можно использовать и 3.6 и 3.9 и 4.0 и 5.0. Однако на версиях 3.9 и 4.0 до R3 включительно потребуются дополнительные настройки. В случае 4.0 до R2 включительно эти настройки (отключение усиленного контроля ключа) понижают уровень безопасности, что для некоторых клиентов и комплектаций неприемлимо. С другой стороны, у многих усиленный контроль ключей вообще никогда не был включен и порталы не проверяют данный параметр. В случае 4.0 R3 настраивается новая дата действия гост-2001, без нарушения уровня безопасности (в некоторых особо безопасных конфигурациях сравнивается контрольная сумма реестра, ее нужно будет пересчитать). Для настройки есть специальная утилита от КриптоПро.

С 5.0 пока не сталкивался, подсказать не могу. Версия 3.6 технически продолжает работать, работать и работать, пока не потребуется гост-2012. С января новые квалифицированные сертификаты ключа проверки элекстронной подписи можно получить только по гост-2012, то есть при смене сертификата у Вас уже выбора не будет и придется обновиться до 4.0 или 5.0. Контур ответил Вам именно с этой позиции - технически ключи выданные в 2018 году (то есть с алгоритмом гост-2001) возможно использовать с 3.6.

2) У каждой сертифицированной комплектации (исполнения) Криптопро есть срок действия сертификата соответствия. Как правило это 3 года с момента выпуска версии, плюс минус. У большинства комплектаций версии 3.6 срок истек еще в январе 2018 года. У пары комплектаций версии 3.6.1 срок действия сертификата действовал до 31 декабря 2018 года (потому что гост-2001 изначально предполагалось использовать до этой даты). Согласно письму о продлении использования гост-2001 на год, на продление сертификата соответствия можно было подавать только СКЗИ со сроком действия заканчивающимся после 31 декабря 2018 года. Таким образом, версия 3.6 не попала под продление и все сертификаты соответствия ее различных исполнений истекли 31 декабря 2018 года. Для сайтов и порталов никакой разницы в принципе нет, однако некоторые решили лишний раз потрясти своей законопослушностью и сделать невозможной работу версии 3.6. В этом случае они официально отвечают, что работа в версии 3.6 невозможна, "по требованиям сертификации СКЗИ". Имеено так Вам ответила техподдержка Росэлторга. Формально - имеют право, фактически - 80% исполнений версии 3.6 истекли еще в январе 2018 года и почти целый год этот факт никого не заботил.

При выполнении обновлений версии 3.6 до 4.0 заметил, что многие вообще работали на исполнениях версии 3.6 которые истекли гораздо раньше и порталы это устраивало, хотя официально они давно везде говорили что допустима только версия 3.6.7777 или 3.6.1. По факту порталы не занимались отпределением точной версии и исполнения 3.6, посмотрят что версия начинается с "3.6" и пропускали. А теперь у версии 3.6 сертификаты закончились и начало "3.6" не пропускают. Такие вот игры разума.

Итого: Получается, что нужно было перейти на 4.0 до 31 декабря 2018 года и внести соответствующие записи в журнале учета СКЗИ, чтобы при возможной проверке от ФСБ все было по закону. В этом случае, будет возможна работа как со старыми ключами гост-2001, так и с новыми ключами гост-2012. Иначе переход и записи придется сделать при смене сертификата.

Насчет 4.0 R4 порталы однозначно "гонят лошадей", так как на данную версию получено положительное заключение от ФСБ, но, насколько мне известно, сертификата еще не было, то есть формально это будет нарушением в той же степени, как и использование 3.6. Впрочем, пока возможная проверка приедет может быть и будет уже сертификат соответствия, можете рискнуть попробовать 4.0 R4 если лениво потом обновляться еще раз. Также в первом квартале возможно будет сертифицирована версия 5.0. А пока 4.0 R3 плюс настройка - самый законный способ.

В итоге, так как ЭЦП истекает в мае, то чтобы не рисковать с идентификацией 3.6 со стороны различных ЭП, обновил КриптоПро до версии 4.0 R3. После установки демо-период до 17.04.2019, так что в апреле можно будет приобрести ключ. К тому времени глядишь и R4, а может и 5.0 сертифицируют.