版本2.9的Mozilla根存储策略

在线安全领域持续演进，我们兴奋地宣布发布MRSP版本2.9，这彰显了我们致力于跟上网络发展步伐，并进一步推动对安全可信互联网的承诺。
随着每次对Mozilla根存储策略（MRSP）的更新，我们旨在应对新兴挑战，并增强根存储的完整性和可靠性。版本2.9引入了多项值得注意的变更和改进，本文概述了MRSP的关键更新及其对更广泛在线社区的影响。

管理根CA证书的有效生命周期

此版本MRSP中最关键的变更之一是限制根证书在根存储中的存留时间。通常，根证书会颁发25年或更长的有效期，但考虑到计算机处理能力的快速进步，这一时间过长。为解决此问题并使网络PKI更敏捷，我们实施了一项计划，在根证书使用超过指定年限后，从根存储中移除信任位和/或根证书本身。
根据MRSP新章节7.4，启用网站信任位的根证书将在CA密钥材料满15年时移除该位。类似地，具有电子邮件信任位的根证书将设置“S/MIME不信任日期”为CA密钥材料生成日期后18年。过渡计划已建立，适用于2014年4月14日前创建的CA根证书。如果底层算法更易受密码分析攻击或其他情况使计划过时，过渡计划可能调整。

符合CA/Browser论坛的S/MIME证书基线要求

CA/Browser论坛发布了S/MIME证书基线要求（S/MIME BRs），生效日期为2023年9月1日。因此，自2023年9月1日起，为数字签名或加密电子邮件颁发的证书必须符合最新版S/MIME BRs，如MRSP章节2.3所述。针对结束于2023年10月30日后的审计周期，将需要定期审计以确认符合S/MIME BRs。过渡指南提供于以下wiki页面：https://wiki.mozilla.org/CA/Transition_SMIME_BRs。

安全事件和漏洞披露

为快速响应和解决影响CA的安全问题，MRSP章节2.4添加了报告安全事件和严重漏洞的指南。更多指南提供于以下wiki页面：https://wiki.mozilla.org/CA/Vulnerability_Disclosure。

CCADB合规自评估

此前，CA需每年自评估符合Mozilla政策和CA/Browser论坛的TLS基线要求，但MRSP未明确要求提交年度自评估。从2024年1月开始，具有网站信任位根证书的CA运营商必须每年执行并提交CCADB合规自评估（在其审计周期结束后的92个日历日内）。这将提供每个CA持续符合Mozilla政策和CA/Browser论坛TLS基线要求的透明度。

淘汰SHA-1

随着2017年Firefox 52的发布，Mozilla移除了对TLS证书中SHA-1的支持。MRSP版本2.9进一步采取措施淘汰SHA-1的使用，仅允许其用于完全超出MRSP范围的终端实体证书，以及涉及复制现有SHA-1中间CA证书的特定有限情况。这些努力与行业逐步淘汰SHA-1使用的最佳实践一致。

结论

多项变更将要求CA修订其实践，因此我们已向CA发送CA通信和调查，以提醒这些变更并询问其在生效日期前符合新要求的能力。
MRSP的这些更新强调了Mozilla为用户提供安全可信体验的坚定承诺。我们鼓励您参与Mozilla社区和CCADB社区，为这些努力贡献力量，为用户提供安全的在线体验。

标签： CCADB, 证书颁发机构, 证书, MRSP, 根存储策略, S-MIME, sha1, TLS