Добрый день.
Где же Вы находите подобные темы, неужели посвежее не нашлось.
В принципе, ситуация в основном такая же - ключевые моменты освещены верно. На текущий момент правда capicom уже практически устарел, в основном используется cadescom в браузерах. Однако, стоит заметить, что в cadescom до сих пор очень ограниченно поддерживаются расширения сертификата и если нужно что-то достать из расширений, то capicom выручает. Усовершенствован сам механизм подписания: плагин может подсчитывать хеш многомегабайтных файлов по частям, в каких-то случаях даже считывать файл напрямую.
Есть возможность подписывать значение хэша, то есть нет необходимости скачивать многомегабайтные файлы и загружать обратно если, например, нужно подписать на клиенте, а файл находится на сервере. Не рекомендуется подписывать значение хэша, так как может идти в разрез с нормой законодательства о визуализации подписываемых данных (нет файла - ведь нечего визуализировать), тем не менее технически возможно. Добавлено в большинство интерфейсов, не только в плагин.
Сменилась версия криптопровайдера - с версии 5.0 поддерживаются облачные ключи: ключ может хранится в неизвлекаемом аппаратном хранилище (например, дорогой "железный ящик", куда ничего нельзя добавить/установить, а перепрошить можно только у производителя) "на сервере" (в облаке), куда осуществляется доступ по HTTPS c подтверждением (например, СМС или паролем). Для использования облачных ключей криптопровайдеру 5.0 нужна лицензия 5.0 (при использовании лицензии версии от 4 есть ограничения на новые функции). Подписание таким ключом может производится на клиентском компьютере или другом сервере. Цены понятно тоже поменялись, смотрите актуальные. Смотрите в сторону DSS и HSM по такому поводу - то что Вам нужно или нет.
Насчет работы такого функционала в Джава наверно стоит уточнить в разделе Джава провайдеров - JCP или JCSP нужен. Далее в командной строке надо уточнить какая нужна лицензия (в зависимости от операционной системы и количества ядер), тогда уже можно по прайсу определиться со стоимостью.
В целом, за это время подписание на Джава стало дружелюбнее - поддерживается большее число типов хранилищ сертификатов. Например, сейчас закрытый ключ и сертификат могут хранится в виде pfx/p12 файла, такой файл может быть одновременно использован как хранилище сертификатов и как аналог контейнера. В принципе, это тоже дает видимый эффект "подпись хранится где-то на сервере, доступ к ней осуществляется через личный пароль", стоит дешевле готового железного ящика, но без готового пользовательского интерфейса и готовых мер безопасности файла. Вся безопасность фактически на пароле, который должен быть надежным. Если есть свой пользовательский интерфейс для документов (не хватает только подписания) и уже есть HTTPS (чтобы пароль на контейнер тупо не стащили из незашифрованного запроса HTTP), желательно двусторонний HTTPS, применены меры безопасности на сервере, то файлы pfx вполне себе вариант.
