Sto lavorando a un prodotto che include driver di terze parti per alcuni componenti hardware del prodotto. Alcuni driver non sono firmati, altri sono firmati solo con certificati sha1.
Dato che ottenere nuovi driver sha2 firmati (o con doppia firma) da tutte le terze parti sarà molto difficile, se non impossibile, dovrei firmare i driver che ho con il certificato di firma del codice della mia azienda?
Quali sono le implicazioni, sia tecniche che legali, nel firmare il codice di qualcun altro? Offre molto di più del semplice "abbiamo testato questa versione del driver e ci si fida di esso"?