:: Technická podpora

Problémy s instalací systémových ovladačů
ve Windows 7

Pozadí problému - SHA1, SHA2 a EV certifikáty

V posledních letech došlo postupně k několika změnám při ověřování vhodnosti ovladačů při instalaci do Windows. Roky používané certifikáty SHA1 přestaly být považovány za důvěryhodné a byly nahrazeny certifikáty řady SHA256. S příchodem Windows 10 pak byly požadavky dále zpřísněny na použití EV certifikátů (tzn. Extended Validation Certificate).

V této souvislosti je vhodné uvést, že všechny ovladače TEDIA jsou od poloviny roku 2015 podepisovány duálně SHA1+SHA256 a od října 2017 jsou ve verzi pro Windows 10 dostupné i s EV certifikátem.

Požadavky na důvěryhodné certifikáty v závislosti na verzi Windows jsou přehledně popsány v tabulce níže.

Popis problému

V průběhu roku 2017 se na technickou podporu opakovaně obraceli uživatelé Windows 7 s problémem při instalaci nových zařízení; ovladače byly odmítány jako nepodepsané s výstrahou zachycenou na obrázku níže.

neplatný podpis

V případě 32bitové verze Windows 7 bylo možné výstrahu ignorovat a ovladač nainstalovat, v případě 64bitové verze Windows 7 se zpravidla nepodařilo ovladač nainstalovat.

Nejde však o chybu ovladačů, příčinou je neaktualizovaný systém.

Jak je patrné z tabulky níže, Windows 7 od 1. ledna 2017 přestaly podporovat certifikát SHA1 a ovladače jím podepsané nepovažují za důvěryhodné. V případě aktualizovaných Windows 7 byla do systému v rámci aktualizací instalována podpora SHA256 a systém si při instalaci ovladače zvolí certifikát, kterému důvěřuje (viz duální podepisování SHA1+SHA256 zmíněné výše).

Pokud však nebyly Windows 7 aktualizované, nedůvěřují od roku 2017 certifikátům SHA1 a neumějí zpracovat certifikáty SHA256.

Řešením je tedy aktualizovat systém, nebo alespoň doinstalovat podporu SHA256 (viz odkaz v tabulce níže).

Podpora certifikátů různými verzemi Windows

Operating
System
SHA256
Support
Up through
Dec. 31,
2015
Jan. 1 - Dec. 31,
2016
Jan. 1,
2017 +
Windows
Vista
Limited
Microsoft 2763674
User Mode:
SHA1,
limited SHA256 download/install support with patch

Kernel Mode:
SHA1 ONLY
User Mode:
SHA1,
limited SHA256 download/install support with patch

Kernel Mode:
SHA1 ONLY
User Mode:
SHA1,
limited SHA256 download/install support with patch

Kernel Mode:
SHA1 ONLY
Windows
Server
2008
Limited
Microsoft 2763674
User Mode:
SHA1,
limited SHA256 download/install support with patch

Kernel Mode:
SHA1 ONLY
User Mode:
SHA1,
limited SHA256 download/install support with patch

Kernel Mode:
SHA1 ONLY
User Mode:
SHA1,
limited SHA256 download/install support with patch

Kernel Mode:
SHA1 ONLY
Windows
Server
2008 R2
With update
Microsoft 2949927
User & Kernel
Mode:

SHA1, SHA256 with hotfix
User & Kernel
Mode:

SHA256 with hotfix.

Windows continues to verify SHA1 signed code which has been timestamped prior to Jan. 1, 2016.
User & Kernel
Mode:

SHA256 only (with hotfix).

Windows no longer trusts any SHA1 signed code.
Windows
7
With update
Microsoft 2949927
User & Kernel
Mode:

SHA1, SHA256 with hotfix
User & Kernel
Mode:

SHA256 with hotfix.

Windows continues to verify SHA1 signed code which has been timestamped prior to Jan. 1, 2016.
User & Kernel
Mode:

SHA256 only (with hotfix).

Windows no longer trusts any SHA1 signed code.
Windows
Server
2012
Yes User & Kernel Mode:
SHA1, SHA256 with hotfix
User & Kernel Mode:
SHA256.

Windows continues to verify SHA1 signed code which has been timestamped prior to Jan. 1, 2016.
User & Kernel Mode:
SHA256 only.

Windows no longer trusts any SHA1 signed code.
Windows
8
Yes User & Kernel Mode:
SHA1, SHA256
User & Kernel Mode: SHA256.

Windows continues to verify SHA1 signed code which has been timestamped prior to Jan. 1, 2016.
User & Kernel Mode:
SHA256 only.

Windows no longer trusts any SHA1 signed code.
Windows
10
Yes User Mode:
SHA1, SHA256.

Kernel Mode:
EV Code Signing cert + Microsoft Submission
User Mode:
SHA256. Windows continues to verify SHA1 signed code which has been timestamped prior to Jan. 1, 2016.

Kernel Mode: EV Code Signing cert + Microsoft Submission
User Mode:
SHA256 only.

Windows no longer trusts any SHA1 signed code.

Kernel Mode:
EV Code Signing cert + Microsoft Submission
Tabulka byla převzata z portálu symantec.com.
Poznámka: User Mode software představuje běžné uživatelské programy, Kernel Mode software pak ovladače instalované do jádra systému.

 

Jak ověřit, kterými certifikáty je ovladač podepsán?

Informaci o certifikátech, resp. podpisech vydavatele, lze jednoduše zjistit v Průzkumníku Windows, stačí kliknout pravým tlačítkem na soubor ovladače (SYS nebo DLL) a zvolit Vlastnosti => Digitální podpisy. Na obrázku níže jsou zobrazeny vlastnosti souboru se dvěma podpisy TEDIA a jedním podpisem Microsoft.

podpisy vydavatele