Здравствуйте, ov, Вы писали:

ov>вобщем пока я остановился на таком решении: подписываю два раза, с sha-1 использую старый сертификат, а с sha-256 — новый.

Comodo писал что старый(заменённый) сертификат будет действительным только 14 дней после замены. В статье по ссылке не сказано, что надо подписывать sha-1 со старым сертификатом, наверное, логично попробовать подписать новым. В любой случае держите в курсе расследования, внимательно слежу.