EDITAR: He editado mi pregunta para no solo considerar la desaprobación de SHA-1, sino también la firma directa de certificados de suscriptor desde la raíz.
En caso de que un sistema heredado aún use una configuración en la que una CA raíz interna y autofirmada emita directamente certificados de servidor, ¿los certificados de los usuarios finales (por ejemplo, los empleados) seguirán aceptándolos?
Estoy pensando en el impacto de:
- Desaprobación de SHA-1: si tengo la raíz SHA-1 emitir certificados de suscriptor SHA-256, ¿está permitido? Sé que la firma en la raíz no se usa, pero la emisión directa de certificados desde la raíz podría considerarse una configuración ilegal.
- Otras medidas que toman los navegadores: por ejemplo, el documento al que CryptoGuy enlazó mencionó que "las CA no DEBEN emitir certificados de suscriptor directamente de las CA raíz".
También proporcione enlaces a fuentes creíbles, si están disponibles.