Root-Zertifikate mit SHA-1-Signatur sind von der Änderung nicht betroffen. Sie bilden den obersten Vertrauensanker und werden deshalb von der CA eigensigniert. Betriebssysteme und Applikationen prüfen Wurzelzertifikate nicht, da sie den Status „vertraulich“ haben.