pour vérifier si votre certif utilise SHA-1: https://shaaaaaaaaaaaaa.com/
le cas échéant il faut regénérer le certif en utilisant le flag -sha256 lors de la création du CSR (Certificate Signing Request).
edit: ne pas oublier d'utiliser un certificat intermédiaire en SHA-2 lui aussi. https://shaaaaaaaaaaaaa.com/ en liste quelques uns.

j'aime beaucoup le passage suivant:
"""
For companies, certificates are generally obtained for as long as possible, stuck wherever, and forgotten about until it's time to panic.
"""
pas mieux.