Atualmente, tenho dois servidores Apache em execução aqui e aqui , ambos usam certificados SSL assinados por StartSSL. Configuração Apache SSL abaixo:
## SSL directives
SSLEngine on
SSLCertificateFile "/etc/certificates/thor.vikingserv.net/certificate.crt"
SSLCertificateKeyFile "/etc/certificates/thor.vikingserv.net/private.key"
SSLCertificateChainFile "/etc/certificates/intermediate/startssl-class-1.crt"
Tanto o certificado do servidor quanto o certificado intermediário são SHA-256, mas o certificado CA é SHA-256 em minha estação de trabalho Linux, mas SHA-1 em meu MacBook.
Eu poderia usar a SSLCACertificatePathdiretiva no Apache para forçar o certificado CA SHA-256, mas isso substituiria o certificado raiz distribuído com o sistema operacional?
Não, não seria, porque se os clientes confiassem em um certificado raiz aleatório apresentado a eles, todo o objetivo de um armazenamento confiável seria um tanto discutível.
Duas observações sobre sua pergunta:
SSLCACertificatePathnão ajudaria de qualquer maneira, pois essa diretiva é usada apenas ao validar certificados de cliente, o que não é o que você está fazendo.