Vedo che le CA ora danno la possibilità di firmare il certificato CA radice con SHA2. Mi è stato detto che la funzione di hashing in una radice non ha alcun valore di sicurezza ed è irrilevante per quanto riguarda la vulnerabilità di collisione perché il certificato vive nel trust store del sistema host, quindi non richiede alcuna verifica, e fingere uno sarebbe inutile a questo riguardo. Quindi, perché CA ora sta dando questa opzione? Si tratta di una misura di sicurezza nel caso in cui la CA stessa sia compromessa per impedire agli attaccanti di rilasciare certificati fraudolenti?