Por que os certificados raiz da CA são todos assinados pelo SHA-1 (desde que o SHA-1 foi descontinuado)?

Entendo que certificados SSL não podem mais ser assinados usando SHA-1. No entanto, todos os certificados raiz da CA são assinados por SHA-1 (principalmente). Isso significa que o mesmo algoritmo que não é mais confiável para "sua loja SSL da vovó" é bom para o certificado mais seguro do mundo?

Estou esquecendo de algo? (uso da chave? tamanho da chave?)

A assinatura dos certificados de CA raiz não importa, pois não há necessidade de verificá-los. Todos são autoassinados.

Se você confia em um certificado de CA raiz, não há necessidade de verificar sua assinatura. Se você não confia, sua assinatura é inútil para você.

Editar: existem alguns comentários muito relevantes abaixo. Não me sinto à vontade para copiá-las ou reformulá-las e receber crédito por elas em vez de por seus autores. Mas saúdo as pessoas a acrescentar explicações a esta resposta.

No final do dia, um certificado raiz é autoassinado. Nunca é assinado por outra entidade, exceto ela própria. O certificado raiz obtém sua confiança por meio de processos fora de banda, como enviá-lo para uma lista de navegadores de editores confiáveis ​​ou aceitá-lo pela Microsoft para inserção na lista padrão de editores confiáveis ​​do Windows.

Esses certificados (e as empresas que os auto-assinaram) são (supostamente, esperançosamente) minuciosamente examinados por outros meios além das assinaturas.

O único caso em que isso importa é que, se a raiz for assinada pelo SHA-1, ela poderá ser revogada pelo SHA-1. Ou seja, alguém que pode atacar o SHA-1 pode construir uma revogação para a raiz. E tenho certeza absoluta de que o navegador não sabe como persistir com isso, para que o vândalo não tenha realizado mais do que eliminar conexões SSL. Que coxo.

Como observação, algumas CAs já estão atualizando seus certificados raiz e intermediários para o SHA256 de qualquer maneira.

Sei que no ano passado a GlobalSign estava atualizando seus certificados, assim como estávamos atualizando nossos certificados de assinatura de código, então tive que adicionar sua nova cadeia a eles também.

Você pode verificar quais certificados específicos foram atualizados e quais eles foram atualizados, mas também deixaram um certificado SHA1 herdado para aqui => 1

Espero que ajude.

Para a CA raiz, você confia na chave pública da CA - agrupada no CRT - independentemente de sua autoassinatura.

Descrevendo a CA usando o formato de arquivo .CRT em vez de uma chave pública bruta. O PEM permite agrupar mais detalhes nela - por exemplo, nome da CA - (mais uma vez, a assinatura é inútil)

Já existem certificados raiz SHA1 fixados muito antigos, principalmente na era de 2006 ou anterior, que os navegadores aceitam, mas nenhum certificado mais recente. Lembra quando o Firefox e o Chrome foram versionados usando um dígito?

Os certificados falham se a CA raiz usar certificados SHA1 com o Not Before definido para algo após 2014. As restrições de data reais dependem do navegador ou de outro aplicativo. O cabforum da WebCA deixou isso claro há vários anos. Teste você mesmo:

1. Crie uma infraestrutura de Autoridade de Certificação raiz privada assinada com um SHA1, chame-o de rootSHA1
2. Faça com que o rootSHA1 crie uma autoridade de certificação "emissora" ou "intermediária" que emita certificados com um certificado acorrentado à raiz. Chame de intermediárioSHA256.
3. Faça com que a CA intermediária do SHA256 gere certificados assinados com um hash sha256 ou superior. Chame isso de webServerSHA256.
4. Instale o webServerSHA256 no webServerSHA56.mydomain.com.
5. Instale os certificados rootSHA1, intermediárioSHA256 e webServerSHA256 nos locais apropriados no Google Chrome. Instale a raiz nas autoridades de certificação raiz confiáveis ​​e nas demais com uma cadeia de certificados.
6. Navegue no Google Chrome para https://webServerSHA256.mydomain.com/ e verifique se não há um cadeado verde para webServerSHA256. O teste falha.