Tratto da qui :
Don't worry if the root certificate uses SHA1; signatures on roots are not used (and Chrome won't warn about them.
Perché le firme non vengono utilizzate? Anche i certificati di root non sono vulnerabili? Non c'è nulla che possa essere ottenuto rompendo SHA1 per falsificare un certificato radice?