Problémy s instalací systémových ovladačů
ve Windows 7
Pozadí problému - SHA1, SHA2 a EV certifikáty
V posledních letech došlo postupně k několika změnám při ověřování vhodnosti ovladačů při instalaci do Windows. Roky používané certifikáty SHA1 přestaly být považovány za důvěryhodné a byly nahrazeny certifikáty řady SHA256. S příchodem Windows 10 pak byly požadavky dále zpřísněny na použití EV certifikátů (tzn. Extended Validation Certificate).
V této souvislosti je vhodné uvést, že všechny ovladače TEDIA jsou od poloviny roku 2015 podepisovány duálně SHA1+SHA256 a od října 2017 jsou ve verzi pro Windows 10 dostupné i s EV certifikátem.
Požadavky na důvěryhodné certifikáty v závislosti na verzi Windows jsou přehledně popsány v tabulce níže.
Popis problému
V průběhu roku 2017 se na technickou podporu opakovaně obraceli uživatelé Windows 7 s problémem při instalaci nových zařízení; ovladače byly odmítány jako nepodepsané s výstrahou zachycenou na obrázku níže.
V případě 32bitové verze Windows 7 bylo možné výstrahu ignorovat a ovladač nainstalovat, v případě 64bitové verze Windows 7 se zpravidla nepodařilo ovladač nainstalovat.
Nejde však o chybu ovladačů, příčinou je neaktualizovaný systém.
Jak je patrné z tabulky níže, Windows 7 od 1. ledna 2017 přestaly podporovat certifikát SHA1 a ovladače jím podepsané nepovažují za důvěryhodné. V případě aktualizovaných Windows 7 byla do systému v rámci aktualizací instalována podpora SHA256 a systém si při instalaci ovladače zvolí certifikát, kterému důvěřuje (viz duální podepisování SHA1+SHA256 zmíněné výše).
Pokud však nebyly Windows 7 aktualizované, nedůvěřují od roku 2017 certifikátům SHA1 a neumějí zpracovat certifikáty SHA256.
Řešením je tedy aktualizovat systém, nebo alespoň doinstalovat podporu SHA256 (viz odkaz v tabulce níže).
Podpora certifikátů různými verzemi Windows
| Operating System |
SHA256 Support |
Up through Dec. 31, 2015 |
Jan. 1 - Dec. 31, 2016 |
Jan. 1, 2017 + |
|---|---|---|---|---|
| Windows Vista |
Limited Microsoft 2763674 |
User Mode: SHA1, limited SHA256 download/install support with patch Kernel Mode: SHA1 ONLY |
User Mode: SHA1, limited SHA256 download/install support with patch Kernel Mode: SHA1 ONLY |
User Mode: SHA1, limited SHA256 download/install support with patch Kernel Mode: SHA1 ONLY |
| Windows Server 2008 |
Limited Microsoft 2763674 |
User Mode: SHA1, limited SHA256 download/install support with patch Kernel Mode: SHA1 ONLY |
User Mode: SHA1, limited SHA256 download/install support with patch Kernel Mode: SHA1 ONLY |
User Mode: SHA1, limited SHA256 download/install support with patch Kernel Mode: SHA1 ONLY |
| Windows Server 2008 R2 |
With update Microsoft 2949927 |
User & Kernel Mode: SHA1, SHA256 with hotfix |
User & Kernel Mode: SHA256 with hotfix. Windows continues to verify SHA1 signed code which has been timestamped prior to Jan. 1, 2016. |
User & Kernel Mode: SHA256 only (with hotfix). Windows no longer trusts any SHA1 signed code. |
| Windows 7 |
With update Microsoft 2949927 |
User & Kernel Mode: SHA1, SHA256 with hotfix |
User & Kernel Mode: SHA256 with hotfix. Windows continues to verify SHA1 signed code which has been timestamped prior to Jan. 1, 2016. |
User & Kernel Mode: SHA256 only (with hotfix). Windows no longer trusts any SHA1 signed code. |
| Windows Server 2012 |
Yes | User & Kernel Mode: SHA1, SHA256 with hotfix |
User & Kernel Mode: SHA256. Windows continues to verify SHA1 signed code which has been timestamped prior to Jan. 1, 2016. |
User & Kernel Mode: SHA256 only. Windows no longer trusts any SHA1 signed code. |
| Windows 8 |
Yes | User & Kernel Mode: SHA1, SHA256 |
User & Kernel Mode: SHA256. Windows continues to verify SHA1 signed code which has been timestamped prior to Jan. 1, 2016. |
User & Kernel Mode: SHA256 only. Windows no longer trusts any SHA1 signed code. |
| Windows 10 |
Yes | User Mode: SHA1, SHA256. Kernel Mode: EV Code Signing cert + Microsoft Submission |
User Mode: SHA256. Windows continues to verify SHA1 signed code which has been timestamped prior to Jan. 1, 2016. Kernel Mode: EV Code Signing cert + Microsoft Submission |
User Mode: SHA256 only. Windows no longer trusts any SHA1 signed code. Kernel Mode: EV Code Signing cert + Microsoft Submission |
| Tabulka byla převzata z portálu symantec.com. | ||||
Jak ověřit, kterými certifikáty je ovladač podepsán?
Informaci o certifikátech, resp. podpisech vydavatele, lze jednoduše zjistit v Průzkumníku Windows, stačí kliknout pravým tlačítkem na soubor ovladače (SYS nebo DLL) a zvolit Vlastnosti => Digitální podpisy. Na obrázku níže jsou zobrazeny vlastnosti souboru se dvěma podpisy TEDIA a jedním podpisem Microsoft.
