Estoy escuchando que los avisos de Depresión SHA1 de MS / CHROME solo se aplican a certificados que son parte de un programa raíz de confianza pública. Esto hace que uno crea que IE tendrá una nueva lógica incorporada que le permita distinguir certificados emitidos por CA's internos en lugar de certificados emitidos por Public CA's y NO marcar los sitios como inseguros que se consideran como SHA1 internos?
Por lo tanto, la forma en que lo veo es inútil dejar las copias heredadas de certificados SHA1 en el confiable almacén raíz como una alternativa si el navegador va a marcar todos los certificados SHA1 como inseguros de todos modos. A menos que simplemente vaya en busca de conectividad para plataformas heredadas que no pueden usar SHA2 y no les importan las advertencias.
¿Pensamientos?