¿Es seguro usar un ejecutable de Windows con un certificado SHA256 caducado pero un certificado SHA1 válido?

Lo que significa una firma: la firma significa que el programa no ha sido alterado después de ser firmado. (Por ejemplo, si se inserta malware, se rompería la firma) Las firmas no prueban si un programa es seguro, solo que no se ha modificado desde que se firmó.

Aunque la firma SHA256 ha caducado, esto no significa necesariamente que ya no se pueda confiar en la firma, siempre que Microsoft haya mantenido segura esa clave privada. El archivo no se ha modificado para romper la firma SHA256, es solo el momento de cambiar las claves, por lo que Microsoft no tiene que aferrarse y proteger las claves antiguas para siempre. También significa que si la clave está comprometida y no puede ser revocada, eventualmente caducará por sí sola.

A menos que la clave privada de Microsoft se haya comprometido entre el 17 de febrero y ahora, la fecha de vencimiento no importa. Si la clave se comprometió y se usó para firmar algo malo antes del 17 de febrero, la fecha de vencimiento no lo salvaría.

TL; DR: es casi seguro que proviene de Microsoft, pero deberían firmarlo nuevamente.

La firma ejecutable de Microsoft (Authenticode) puede usar un marca de tiempo contrate la firma de un tercero de confianza para demostrar que el certificado utilizado para la firma era válido en el momento de la firma. Esto es para resolver el problema de que no es seguro emitir un certificado con una validez larga.

Por lo tanto, mientras la firma de firma sea válida (y no se supiera que el certificado de firma original estuviera comprometido en el momento de la firma), se puede confiar en la firma. Este es el estado que la ventana de propiedades de la firma mostrará en la parte superior: