Estuve viendo varias CA y siempre tienen una página dedicada a la lista de "raíces retiradas".
Por ejemplo: enlace
¿Significa que estos certificados no deberían ser confiables ahora? ¿O significa que CA no renovará la raíz una vez que caduque el certificado?
Todos los certificados descritos en la página de raíces retiradas hoy tienen claves RSA de 1024 bits (excepto la que dice 1025) y se autofirmaron con md5WithRSAEncryption o sha1WithRSAEncryption.
La interpretación más probable es que "no estamos auto revocando estas raíces, los certificados que se encadenan a ellos no son intrínsecamente indignos de confianza, pero debe tomar una decisión de la aplicación para confiar en ellos; sin embargo, no emitiremos ningún otro certificado que Cadena a estas raíces ".
Retirado indica que los certificados ya no están en uso, pero no están comprometidos y, por lo tanto, no están revocados. También pueden ser retirados por vencimiento. Cada CA también publica un "CPS" o declaración de práctica de certificación que describe las condiciones comerciales y de operaciones que guían o dictan cuándo tienen lugar diversos eventos (como la retirada de un certificado de emisión).
Lea otras preguntas en las etiquetas certificates certificate-authority