Очевидно, что эти md5 вещи не видны большинству крупных поставщиков программного обеспечения. Если вы заходите на сайты Oracle, IBM, Microsoft, подписей md5 не будет. Даже для самых дорогих продуктов! Я полагаю, они не так серьезно относятся к этому риску, как вы.
Во всяком случае, кажется, есть обходной путь. Похоже, что Olex предоставляет подписанные загрузки для различных продуктов с открытым исходным кодом / бесплатных программ, и JDK в комплекте!