Mozilla maakt Mozilla Root Store Policy (MRSP) v3.0 beschikbaar. Een belangrijke focus daarbij zijn verbeteringen rond het intrekken van certificaten. De MRSP omschrijft hoe Mozilla certificaten en gerelateerd trust bits beheerd voor zijn softwareproducten. MRSP v3.0 is vanaf 15 maart 2025 van kracht.

Het kan vanwege allerlei redenen nodig zijn een beveiligingscertificaat vroegtijdig in te trekken. Een certificaat intrekken kan tot uitdagingen leiden, waardoor beheerders het intrekken van een certificaat in sommige gevallen uitstellen. Dit kan de veiligheid en betrouwbaarheid van de certificaten echter aantasten. Met MRSP v3.0 wil Mozilla dit aanpakken en het intrekken van certificaten beter regelen.

Zo omvat het nieuwe beleid duidelijkere verwachtingen rondom het intrekken van certificaten, een vernieuwde werkwijze rond het rapporteren van incidenten, een planning voor het intrekken van certificaten en richtlijnen voor het geautomatiseerd uitgeven van certificaten. Dit moet het intrekken en vervangen van certificaat op schaal stroomlijnen.

Losse rootcertificaten voor TLS en S/MIME

Een ander wijziging die MRSP v3.0 met zich meebrengt is het uitfaseren van de inzet van rootcertificaten voor zowel internet als e-mail. "De industrie beweegt zich al naar een scheiding van TLS- en S/MIME-hiërarchieën vanwege hun verschillende beveiligingsbehoeften. Het gescheiden houden van deze toepassingen op het niveau van het rootcertificaat zorgt voor meer gefocuste naleving, verhoogt de wendbaarheid van certificaatautoriteiten (CA's), vermindert de complexiteit en verbetert de beveiliging", schrijft Mozilla.

Mozilla's Root Store vereist daarom voortaan dat nieuwe rootcertificaten van CA's specifiek zijn gericht op TLS of S/MIME. CA moeten op uiterlijk 15 april 2026 met Mozilla een plan delen voor het uitfaseren van bestaande rootcertificaten die nog op zowel TLS als S/MIME gericht zijn. Deze overstap moet op uiterlijk 31 december 2028 zijn afgerond.