VerisignでもグローバルサーバIDではMD5をまだ使っているようです。

1.MD5アルゴリズムを利用した全てのSSLサーバ証明書の発行を2009年1月6日(火)以降、停止いたします。
【対象製品】
「グローバル・サーバID」（日本ベリサイン「ストアフロント」システムから発行分）
　※上記以外のサーバID製品は影響がございません。

2.上記対象製品の署名アルゴリズムを以下の通り、2009年1月15日(木)以降、MD5か ら、よりセキュアなSHA-1へ切り替えます。
詳細はこちら
※尚、1月6日から1月15日までの間、対象製品の発行を一時的に保留させていただきます。お客様にはご不便をおかけし大変恐縮ですが、どうぞご理解・ご了承ください。
・1月5日以前に申請いただき、1月6日時点で未発行のサーバIDは、1月15日以降に発行させていただきます。
・また1月6日以降に申請されたサーバIDも同様に、1月15日以降に発行させていただきます。

http://www.verisign.co.jp/ssl/about/20090106.html

日本ベリサインは6日、MD5アルゴリズムへの衝突攻撃を利用し、SSLサーバー証明書の偽造に成功したという研究者の発表を受け、MD5を利用したSSLサーバー証明書の発行を停止するなどの対処を発表した。
対象となる製品は、日本ベリサインが発行する「グローバル・サーバID」。同製品は、暗号化強度に制限のある古いWebブラウザなどに対応したサーバー証明書。「セキュア・サーバID」など、他の製品には影響はない。

日本ベリサイン、MD5利用のSSL証明書を発行停止