(Modifica 24/11/2014: Reworded eliminato per eliminarlo gradualmente.
Risposta breve: Da quello che posso dire, saranno con garbo eliminati, non svuotati . (Almeno da Microsoft.) I vecchi certificati radice SHA1 scadranno regolarmente e Microsoft non accetterà più NOVITÀ SHA1-roots a partire dal 2016. I vecchi rimarranno in attesa, dal momento che erano conformi al linee guida quando sono accettate nel loro programma CA radice. - Le altre 3 organizzazioni che ho guardato non avevano limiti alle radici di SHA1.
Microsoft
Microsoft non accetterà più SHA1 per le CA radice dopo la fine del 2015.
link
Digest Algorithms
SHA1 (until 1 Jan 2016)
SHA2 (SHA256, SHA384, SHA512)
Hanno fatto la stessa cosa con MD5 qualche tempo fa.
link
Hash algorithm must be at least SHA1. No MD2, MD4 or MD5 hashes accepted.
CABForum
CABForum non consente MD5 in root a partire dal 2010. Ma SHA-1 è (ancora) consentito per le CA radice. (Quindi, mentre non vi è alcun motivo di sicurezza per imporre alcun algoritmo di digest, l'autofirma dell'autorità di certificazione di root dimostra che in realtà è stato richiesto prima.)
link
Certificates MUST meet the following requirements for algorithm type and key size.
Digest algorithm: Validity period beginning on or before 31 Dec 2010:
MD5 (NOT RECOMMENDED), SHA-1, SHA-256, SHA-384 or SHA- 512
Digest algorithm: Validity period beginning after 31 Dec 2010 SHA-1*, SHA-256, SHA-384 or SHA-512
di Apple
Impossibile trovare una regola contro SHA1 lì.
Apple non menziona SHA2 nei propri requisiti CA radice. Richiedono invece un'impronta digitale SHA1 sul modulo di domanda.
link
Ma poiché ci sono già certificati SHA-256 nel loro negozio questo sembra essere un dettaglio formale del modulo di domanda.
Vedi i certificati CA root di Yosemite inclusi qui: link
Mozilla
Impossibile trovare una regola contro SHA1 lì.
Mozilla richiede un'impronta SHA1 sul modulo di domanda.
link
E, come con Apple: Ma dato che ci sono già certificati SHA-256 nel loro negozio questo sembra essere un dettaglio formale del modulo di domanda.
Vedi i certificati CA root di Mozilla inclusi qui: link