Ez péntek esti vicc?
Kliens oldalon a legkevésbé sem az.
Old meg más rendszeren, központilag managelve, hogy a felhasználó csak olyan binárisokat és scripteket tudjon futtatni amit egy adott CA által kiállított certificate-ekkel írtak alá.
Még azt is csak vért izzadva lehet egyáltalán megoldani, hogy az update-ek a lejárati határidő előtt 1 héttel elérhetővé válljanak a kliensen, azt követően automatikusan települjenek, majd generáljanak event-et, ha ez nem sikerül.