(хотя, тут они лукавят, ну ладно просроченный сертификат, но если он отозван явно, как можно доверять такому драйверу?)

А политикой можно запретить установку таких дров?

Или предупреждение покажет при установке?

И я так понимаю дров в винапдейте это не касается?

зависит от... не знаю, как сказать правильно... способа использования дровины

например, если это дровина, которая используется каким-то ПО, которое её вгружает на лету, то молча
а если это дровина, которую ставят (для устройства), то покажет красное окно "тут подпись не ок, продолжим?"

политик таких я не знаю, а при чём тут винапдейт, не понял, если честно

но проблема в другом

подпись отозванным сертом воспринимается более лояльно (даётся возможность таки юзать), чем отсутствие подписи вовсе (такой драйвер система не примет вообще)

в моём понимании отношение должно быть равноценным... сертификат отозван, доверие к нему явным образом утрачено = доверия нет = нет подписи

я понимаю логику "драйвер подписан много лет назад, сертификат с тех пор протух, новой версии драйвера не вышло, если заблочить, то юзер останется без драйвера", но не понимаю, почему эту логику нужно распространять не только на протухший серт, но и на отозванный (а отозван он потому что скомпрометирован, его приватная часть валяется в интернете)

В нем лежат дрова, их по идее подписывают

Эти драйвера какой подписью подписаны?

микрософтом, WHQL

Digital Signer: Microsoft Windows Hardware Compatibility Publisher

Он всегда будет иметь валидную подпись?

переподпишут

Ну вот

ну а есть дрова, которые доставляются не через винапдейт

Да, их довольно много

типа деймон тулз и иже с ним, хотя бы

А такие вещи вообще по хорошему как-то в юзерспейс надо бы запихнуть

Что-то вроде fuse на линуксах

Интересно как проводник монтирует образы. Может какой-то API есть.