微软已经有一段时间了。

默认情况下，如果从属证书具有 SHA1 签名，则在截止日期之后，作为 Microsoft 受信任根计划的信任锚的从属证书将不受信任。作为本地安装的信任锚从属的任何 SHA1 证书仍将受信任。这适用于所有使用 Microsoft 内置 CAPI 进行证书处理的应用程序，包括 Internet Explorer 和更高版本的 Chrome。

Mozilla决定用 Firefox 浏览器做自己的事情（因为它不使用 CAPI）并停止信任任何 SHA1 证书，无论信任锚是内部的还是 Mozilla 受信任的根程序的一部分。

请记住，所有信任锚都是受信任的，因为您（或浏览器/操作系统开发人员）明确地将它们放在信任锚存储中，而不是因为它们经过数字签名。因此，信任锚证书是否具有 SHA512、SHA1 或 MD4 签名没有任何区别 - 签名不用于暗示证书中的任何信任或安全性。

我认为当他们谈论这个问题时，证书路径验证不会受到限制，而是公共受信任根程序接受的 CA 会受到限制。那些使用 CA 的将不再被接受。因此，它们将从系统中默认安装的中删除。您仍然可以在受信任的列表中添加您想要的任何 CA（包括那些从公共受信任的根程序中删除的 CA），并且所有这些都将得到验证和同等信任。

当他们通过避免基于 SHA1 的路径验证来真正弃用 SHA1 时，它可能会平等地影响所有 CA，无论是否在内部。

我相当肯定 SHA-1 将在 2017 年被大多数操作系统弃用。尤其是浏览器在 2016 年中期采取主动并标记受 SHA-1 保护的证书，以及 Google 的零项目在网络上实施加密方面取得了成功。

这里的问题不在于连接性。这是关于迫使网络管理员/设备制造商/软件开发人员智能地实施他们的加密。老实说，即使您的 CA 是内部 CA，您的 SHA-1 也已被证明是可破解的。

在我看来，如果你做错了，为什么还要实施加密呢？