Посмотрел тут я, а можно ли определить время подписания документа. И вот к чему пришел.

В CAdES-BES есть подписываемый атрибут signing-time. На который, собственно, и ориентируется большинство.
Хотя атрибут этот, во-первых, необязательный, а, во-вторых, может иметь вообще любое значение.
По сути это просто утверждение подписанта: «Я подписал документ вот в это время. Хотите верьте, хотите — нет».

Начиная с CAdES-T есть неподписываемый атрибут signature-time-stamp, который хоть и будет содержать метку времени из доверенного источника, но метка эта может быть поставлена позже подписания самого документа. Иногда — намного позже (например, при усилении подписи с CAdES-BES до CAdES-X Long Type 1).
По сути signature-time-stamp говорит: «Вот в этот момент времени подпись уже существовала».

В CAdES-BES есть необязательный подписываемый атрибут content-time-stamp, который тоже содержит доверенную метку времени... но формируется она до подписания документа. И насколько «до» зависит только от подписанта.
По сути content-time-stamp говорит: «Вот в этот момент времени подписи еще не было».

Вообще получается, что можно с уверенностью сказать, что документ был подписан в момент времени между content-time-stamp и signature-time-stamp. И если бы оба атрибута заполнялись непосредственно при подписании, то они или были бы равны или между ними была бы 1-2 секунды. Что уже неплохо.

Но, я что-то и не встречал, чтобы кто-то использовал атрибут content-time-stamp...
Например, ЭЦП Browser plug-in при создании подписи CAdES-T автоматически заполняет атрибут signing-time, а вот content-time-stamp автоматически не делает...