добрый день!
Есть проблема с проверкой cades bes подписи (без штампа времени) по просроченным сертификатам.

имеем подпись(sign), сами данные(data), цепочку сертификатов(certChain) и списки отзывов(crls)
проверка осуществляется следующим способом на java:

CAdESSignature cadesSignature = new CAdESSignature(sign, data, null);
cadesSignature.verify(certChain, crls);

1) для действующих на данный момент сертификатов все работает
2) для недействующих на данный момент сертификатов - не работает.
ru.CryptoPro.AdES.exception.AdESException: Error building certification path for ...: sun.security.provider.certpath.SunCertPathBuilderException: unable to find valid certification path to requested target
at ru.CryptoPro.AdES.certificate.CertificateChainBuilderImpl.build(Unknown Source)
at ru.CryptoPro.AdES.certificate.CertificateChainBuilderImpl.build(Unknown Source)
at ru.CryptoPro.AdES.external.signature.AdESSigner.build(Unknown Source)
Т.е. сообщение, подписанное в прошлом году, уже невозможно проверить.
Если изменить системное время на момент когда сертификат еще был дейстующим, то падает уже с дрогой ошибкой - невозможно получить корректный список отзывов, что логично.

Как проверять подпись по просроченным на данный момент сертификатам(но действующим в момент создания подписи, т.е. подписывали давно)?

версия jcp 2.0.40132

К сожалению, бизнес процесс системы таков, что данные могут прийти через год после получения подписи к этим данным, и есть необходимость валидации того что пришло(удостовериться, что давно хранимая подпись соответствует присланным данным). Как быть в этом случае?
Как быть с уже существующими старыми подписями? Их необходимо валидировать.