このエントリーについては日本ベリサイン社へ問い合わせ、28日夜にお返事が届いていました。 「グローバル・サーバID」という製品はルート証明書をSHA-1で署名し直し、ブラウザのベンダーへ配布しているだけなので、MD2署名の証明書が出てくるのはブラウザベンダの責任である、とのことです。 私はFireFox3.6.3(Linux Ubuntu)で試していますが、Windows Vista SP2のIE8でもMD2でした。「グローバル・サーバID」は廉価版ということかもしれません。「セキュア・サーバID」という製品ならばルート証明書自体を変更しているので必ずSHA-1となる、とのことです。 きっかけとなったJava(JRE)のバージョン1.6.0.17は、MD2アルゴリズムを無効としただけで、MD2で署名されたベリサインのCAルート証明書が入っていなかった、と言うことでしょうか? (6月28日