Tomado de aquí :
No se preocupe si el certificado raíz usa SHA1; Las firmas en las raíces son no se utiliza (y Chrome no los advertirá.
¿Por qué no se usan las firmas? ¿No son vulnerables también los certificados raíz? ¿No se puede obtener nada al romper SHA1 para falsificar un certificado raíz?