Los certificados, evidentemente, tienen una fecha límite y pasada esa fecha pasan a no ser válidos.
Para comprobar la validez de un paquete de software, un archivo .pkg, abre el Terminal y usa el siguiente comando:
pkgutil --check-signature /ruta/al/paquete.pkg
Al pulsar retorno de carro el Terminal te informará si es válido o no, si ha expirado o si no hay ningún tipo de certificado. Esto resulta útil, por ejemplo, para comprobar el estado de tus instaladores de OS X, ya que después del cambio de certificados de Apple de hace algunos meses, pueden quedar inútiles. En la imagen podemos ver como estos dos instaladores cuentan con dos certificados no válidos, por lo que tengo que eliminarlos y descargarlos de nuevo.
Carlos, ¿esa huella SHA-1 es la que se muestra junto a los enlaces de algunas descargas?
Es la calculada para los certificados.
De todas formas te interesa, para este tema del SHA, este artículo:
http://www.faq-mac.com/2016/03/os-x-confirmar-la-modificacion-archivo-descargado-sha/