La respuesta correcta depende de su modelo de amenaza.
Si considera que SHA1 es seguro y le preocupa la compatibilidad, debe usar dos firmas SHA1 y dos firmas SHA256.
Esto permitirá que un verificador revise su firma SHA1 mientras su certificado sea válido y verifique la firma SHA1 de la CA si ya no es válida.
Sin embargo, si le preocupa que el hash SHA1 pueda ser falsificado, podría tener sentido usar SHA1 con SHA256 para la firma adicional. De esta manera, cuando su certificado se vuelva inválido, se requerirá la firma SHA256 más fuerte.
Nota:
- No estoy seguro de cuál es el término correcto para este tipo de firma CA adicional. "contra firma" me parece extraño.
- Este esquema significa que si revoca su certificado porque fue pirateado, la firma adicional seguirá atestiguando que al momento de firmar su certificado era válido. Todavía no estoy seguro de cómo revocaría la firma en este caso.