тут уже было несколько подобных тем, но эту вроде не обсуждали. недавно обновил сертификат от ksoftware (comodo), чтобы поддерживал sha256. действовал по этой инструкции, подписал бинарник два раза (sha1 + sha256), чтобы везде работало, и начал тестировать.

на 10-й винде все в порядке, разве что smart screen ругнулся, но это вопрос траста — тут обсуждали.
на чистой 8-й винде все тоже запустилось без проблем.
на чистой 7-й винде приложение не запустилось, сказало, что автор доверия не вызывает. открыл свойства файла, пошел в цифровые подписи, открыл свойства подписи — винда подумала-подумала и сказала, что сертификат-то, в принципе, нормальный. после чего файл стал запускаться без проблем. то есть в процессе проверки винда что-то там себе доскачала, видимо, установила промежуточный или корневой сертификат и теперь моя новая подпись ее устраивает. прелесть, блин.

то есть если я правильно понял, новые комодовские сертификаты опираются на то, чего в чистой седьмой винде, видимо нет. а значит у пользователей есть неиллюзорный шанс полюбоваться табличкой "неизвестный автор, ну эту программу нафиг?". я все-таки надеюсь, что если на мою чистую винду из виртуалки накатить достаточное количество апдейтов, то может она начнет признавать новые сертификаты? windows update запускал, но он задумался слишком надолго, так что пока есть время спросить здесь

вобщем пока я остановился на таком решении: подписываю два раза, с sha-1 использую старый сертификат, а с sha-256 — новый. вроде пашет, но кто знает сколько это еще будет пахать. по идее старым сертификатом в этом году уже нельзя подписывать.

вопрос: кто-то уже сталкивался? находил решение?