No.1 です。 > 例えば、Microsoftという名称でVersignで署名と取り、自分のソフトにその署名を使うと、 > あたかも、Microsoftからの純正品かのような勘違いを引き起こすことも出来ると言うことでしょうか？ これは、技術的に言えば、その通りです。 ただ、Versign も、「認証局」として仕事をしている以上、ニセMicrosoftを認証してしまうと、一気に信用を失ってしまうことになります。 というわけで、さすがに、Microsoft という名前で申請をすると、かなりがちがちの確認をしますので、まあ、運用上そういうことはないようになっています。 なので、とりあえずは、「偽物の申請は却下する」ということになっています。 そういう信頼性を含めて、「認証局」が頑張るわけです。 ある意味では、だから、「ベリサイン社が発行したソフトイーサ社専用の 2048 bit 証明書で署名されており」という但し書きも（単にデジタル署名されていますというだけでなく）ある程度意味を持ちます。 「あの、Verising が認証してくれたので、私も本物です」と（断言できないにしても）ある程度の確度ではいえるわけです。 また、たとえば、ソフトのデジタル署名は、ファイルをコピーすると、丸ごとコピーされます。 なので、たとえば、私が「パケット警察」というソフトをでっち上げて、それを、Vector などにまんまとアップしてしまったとしても、デジタル署名をつけることができないので（署名を確認すれば）偽物だとわかります。 逆に（勝手にコピーして良いかどうかという取り決めは別として）このソフトをどこにコピーしても、署名を確認すれば「本物」とわかるわけです。 このデジタル署名は、公開鍵暗号の技術で実現されています。 認証局は、申請者が「正しい」と確認すると、 ・その申請者専用の秘密鍵 ・それに対応する公開鍵に、認証局の秘密鍵でデジタル署名したもの を渡します。 申請者は、自分のソフトに対して、自分がもらった秘密鍵でデジタル署名を行います。 通常、デジタル署名は、「認証局の秘密鍵でデジタル署名した公開鍵」もセットで配布されますので、受け取った人は、 ・その公開鍵で検証することで、確かに、秘密鍵の持ち主（=申請者）がデジタル署名をしたこと ・さらに、署名をされた後で、改ざんされてないこと ・その公開鍵が、認証局によってデジタル署名されているので、確かに、その申請者を認証局が認証したこと 以上が確認できるというわけです。

このレベルの（GlobalSign CodeSigning CA-G2) デジタル署名で、おおよそ言えるのは ・SoftEther K.K. という名称で、Verisign社に対して、デジタル署名を申請した団体がある ・その団体が、作成したソフトであり、それ以外のものが関与はしていない（と、その団体が言っている） ・「自分たちの作ったソフトだ」と、「その団体」が宣言していると、Verisign社が保証している ということです。 厳密には、それが、SoftEther Corporation と同じ組織であると調べる方法はありません。 また、よく見ると、これがおいてあるWebが、「本当に第三者ではない」というのを保証する仕組み（たとえば、https でのアクセス）を提供していないので、同じ組織であるとはいいきれません。 ただ、説明図にある SoftEther Corporation の署名は、2012年10月30日に行われているのに対して、SoftEther K K のデジタル署名は、2012年12月26日から有効（ダウンロードしたソフトの署名自体は、2013年2月4日）なので、あまり、不自然なところはないとは思えます。 また、こういうものの偽造はかなり難しいです。 だから、これが、「SoftEther K K」として、Versising社にデジタル署名を申請した団体のものであるというのは、まず間違いありません。

どちらも同じでしょうが、第三者がとやかく言っても仕方がないのでソフトイーサに聞いてみてはどうでしょうか？ https://www2.softether.jp/jp/contact/Default.aspx?flag=1