D>Сертификат походу точно такой же. Наверное у меня уже "подкачалось", что нужно, проверю позже на чистой семерке, спасибо за информацию.

судя вот по этой статье, винда обновляет свой список корневых сертификатов раз в неделю.

The Windows Root Certificate Program enables trusted root certificates to be distributed automatically in Windows. Usually, a client computer polls root certificate updates one time a week. After you apply this update, the client computer can receive urgent root certificate updates within 24 hours.

так что если комп в сети, то сертификаты там будут. если он без апдейтов по какой-то причине, то имеет смысл подписать sha-1/sha-256, чтобы винда была счастлива. если апдейты есть, то хватит и одного sha-256.

посмотрел софт, установленный на рабочем компе: почти у всех только sha1 пока. исключения: гугл хром и майкрософтовские программы — там sha-1/sha-256. думаю сделать обе подписи будет на данном этапе правильнее.

Здравствуйте, ov, Вы писали:

А я заметил, что у моего нового сертификата comodo промежуточный и корневой сертификат имеет подпись sha384.
Не знаю, что за зверь, но если на старых вендах не было поддержки даже sha256, то и sha384 там вряд-ли поддерживался.
и возможно делать двойное подписывание, включающее sha1 таким сертификатом смысла нет.
А старый sha1 сертификат протухнет через 14 дней.

Интересно, а остались еще товарищи, которые разрабатывают в WinXP? Новый signtool, который умеет sha256, не запускается у меня в XP совсем. Такой вот сюрприз.
Неужто пришло время променять обустроенную годами привычную виртуалочку с WinXP на виртуалку с Win7, где всё ставить и настраивать заново (ААА!!!)?
Или всё-таки как-то можно запустить signtool 6.3.96 на WinXP?