このエントリーについては日本ベリサイン社へ問い合わせ、28日夜にお返事が届いていました。 「グローバル・サーバID」という製品はルート証明書をSHA-1で署名し直し、ブラウザのベンダーへ配布しているだけなので、MD2署名の証明書が出てくるのはブラウザベンダの責任である、とのことです。 私はFireFox3.6.3(Linux Ubuntu)で試していますが、Windows Vista SP2のIE8でもMD2でした。「グローバル・サーバID」は廉価版ということかもしれません。「セキュア・サーバID」という製品ならばルート証明書自体を変更しているので必ずSHA-1となる、とのことです。 きっかけとなったJava(JRE)のバージョン1.6.0.17は、MD2アルゴリズムを無効としただけで、MD2で署名されたベリサインのCAルート証明書が入っていなかった、と言うことでしょうか? (6月28日
![ベリサインのSSLサーバ証明書にMD2アルゴリズムが現役 - でんしゃ観察レポート](https://cdn-ak-scissors.b.st-hatena.com/image/square/454c717d452bf12006c31ce10577325857f38d26/height=288;version=1;width=512/https%3A%2F%2Fdennsya-nikki.cocolog-nifty.com%2Fblog%2Fimages%2F2010%2F06%2F27%2Fsslcertviewwww2_kobayashi_co_jp.png)