Estoy trabajando en un producto que incluye controladores de terceros para parte del hardware del producto. Algunos de los controladores no están firmados, otros solo están firmados con certificados sha1.
Dado que obtener controladores sha2 firmados (o con doble firma) de todos los terceros será muy difícil, si no imposible, ¿debo firmar los controladores que tengo con el certificado de firma de código de mi empresa?
¿Cuáles son las implicaciones, tanto técnicas como legales, de firmar el código de otra persona? ¿Confiere más que simplemente "hemos probado esta versión del controlador y confiamos en ella"?