升级Mozilla根存储策略至版本2.8

根据强调保护用户隐私和安全的开放政策开发的Mozilla宣言，我们在过去几个月与Mozilla社区合作改进了Mozilla根存储策略（MRSP），现宣布版本2.8于2022年6月1日生效。这些策略变更旨在提高证书颁发机构（CA）操作及其颁发证书的透明度。策略变更的详细比较可在此处找到，此版本中的重大策略变更包括：

• MRSP第2.4节：审计中记录的任何资格、修改意见或重大不符合项均被视为事件，必须在Mozilla的Bugzilla系统中提交相应的事件报告；
• MRSP第3.2节：ETSI审计员必须是认可合格评定机构委员会的成员，WebTrust审计员必须由CPA Canada注册为WebTrust从业者；
• MRSP第3.3节：CA必须保留其证书策略和认证实践声明的旧版本链接，直到依据这些文档操作的整个根CA证书层次结构不再受Mozilla根存储信任；
• MRSP第4.1节：在2022年10月1日之前，能够颁发TLS证书的中级CA证书必须向通用CA数据库（CCADB）提供CA证书颁发的完整CRL的CRL分发点，或提供等同于CA证书颁发证书的完整CRL的分区CRL的JSON数组；
• MRSP第5.1.3节：自2022年7月1日起，CA不能使用SHA-1算法颁发S/MIME证书；自2023年7月1日起，CA不能使用SHA-1签署任何CRL、OCSP响应、OCSP响应器证书或CA证书；
• MRSP第5.3.2节：能够颁发有效服务器或电子邮件证书的CA证书必须在2022年7月1日前在CCADB中报告，即使它们在技术上是受限的；
• MRSP第5.4节：虽然Mozilla不要求记录证书透明度预证书，但Mozilla将其视为颁发证书的具有约束力的意图，因此，预证书的错误颁发等同于证书的错误颁发，CA必须能够撤销预证书，即使相应的最终证书实际上不存在；
• MRSP第6.1.1节：在某些情况下必须使用特定的RFC 5280撤销原因代码（参见博客文章《TLS服务器证书的撤销原因代码》）；
• MRSP第8.4节：新的无约束第三方CA必须通过Mozilla的审核流程批准，该流程包括公开讨论。

这些变更将为Mozilla提供关于CA实践和证书状态的更完整信息。其中一些变更要求CA修订其实践，因此我们还向CA发送了CA通信和调查，以提醒他们这些变更，并询问他们在生效日期前遵守新要求的能力。

总之，这些对MRSP的更新将提高关于CA操作及其颁发证书的信息质量，通过进一步使Firefox能够保护您的信息隐私和安全，从而增加生态系统的安全性。