Lo que puedo ver, es que la principal diferencia no es sobre "SHA1" sino sobre la cadena de certificados. Ver los iconos. Ambos mensajes "SHA1" están bloqueados con un ícono verde, pero la parte acerca de la identidad del sitio web es diferente.
BUENO : * .mail.live.com. Certificación de propiedad de Microsoft, verificada por Symantec Clase 3.
Según digicert.com , no se encontró ningún error o advertencia en el certificado. No estoy seguro de por qué no se muestra una advertencia sobre el uso de "SHA1".
Emisor: (Validación ampliada: EV)
- CA SSL de Symantec Class 3 EV - G3
- Autoridad de Certificación Primaria Pública VeriSign Clase 3 - G5
MALO : outlook.live.com. Certificación de propiedad y verificada por Microsoft. Probablemente, Chrome no haya establecido o reconocido correctamente el certificado (consulte el emisor).
Según digicert.com , se encontró 1 advertencia: SSL Certificate uses a deprecated signature hash
.
Emisor: (Validado organizativamente: OV)
- Microsoft IT SSL SHA1
- Baltimore CyberTrust Root
Así que creo firmemente que hay un pequeño problema de reconocimiento de la cadena emitido por Microsoft.