Mozilla 更新证书颁发机构的跟存储策略

聚焦源代码安全，网罗国内外最新资讯！

翻译：360代码卫士团队

本周一，Mozilla宣布版本2.6更新证书颁发机构的跟存储策略。

跟存储策略管理受火狐、Thunderbird 和其它和 Mozilla 相关软件信任的证书颁发机构。跟存储策略的最新版本经 Mozilla 社区历时数月的讨论后，已于7月1日生效。

这次更新的跟存储策略版本包括二十多种变化，Mozilla 公司证书颁发机构计划经理 Wayne Thayer 已在博客文章中总结了其中的重要更新内容。

跟存储策略版本2.6 要求证书颁发机构清楚地在证书策略和证书实践陈述中说明邮件地址验证方法。证书策略和证书实践陈述必须清楚地说明 IP 地址验证方法，而目前这一内容在某种情况下被禁止。

证书颁发机构需要定期对跟证书和中间证书开展某些审计以继续停留在跟存储中。Mozilla 目前要求审计人员提供用英语写成的报告。

这一新策略还指出，从2019年1月1日起，将要求证书颁发机构为 S/MIME 和 SSL 证书创建单独的中间证书。

Thayer 解释称，“新办法的中间证书将需要受某个不包含 anyPolicy 或serverAuth 以及 emailProtection 的EKU 扩展的限制。不符合该要求的在2019年以前发布的中间证书或可继续用于发布新的端点实体凭证。”

另外一个要求是，跟证书必须在创建之初符合 Mozilla 跟存储策略。Thayer 指出，“这意味着早于2014年的现有跟如未在2013年后接受 BR 审计，那么则无法包含在 Mozilla 的计划中。根据该策略的要求，违反 BR 的跟也被排除在 Mozilla 的跟存储范围之外。”

Mozilla 非常重视数字证书管理。去年，数十起事件发生后，证书颁发机构WoSign及其附属组织 StartCom 受到严厉处罚。赛门铁克也因和合作伙伴错误颁发 TLS 证书受到惩罚，而且 DigiCert 收购赛门铁克证书颁发业务一事也受影响。

https://www.securityweek.com/mozilla-announces-root-store-policy-update