Tous les EXE et DLL de Mercator sont signés numériquement avec certificat Thawte et un timestamp Verisign. A partir du 15 juillet 2008, ce timestamp sera effectué sur base d'une clé SHA-1, remplaçant la clé MD5 jusque là en vigueur.
Microsoft a confirmé que Windows Vista, Windows 2008, Windows 2003, Windows XP, et Windows 2000 pourront lire correctement cette nouvelle signature numérique. Il en résulte que cette signature ne sera pas correctement lue sur les systèmes d'exploitation plus anciens. Ceci ne devrait toutefois pas empêcher l'utilisation de Mercator.