Mozilla 政策？

我认为对此可能没有多少技术答案。以及更多的 Mozilla 政策答案。

信托商店有一些关于如何让您的根 CA 进出它的规则。

Mozilla 也有这样的规则。我不完全理解他们。

但是一般的想法是，一旦您的根在 Mozilla 信任存储中，您可以通过两步过程被丢弃的常规方式：首先您的根留在信任存储中，但处于“已弃用”状态。在您的根目录处于弃用状态后，您可能会被完全淘汰。

另一方面，如果您在 Mozilla 信任库中已经有一个根 CA，并且只想更新它，那么规则与您在那里没有根 CA 的情况略有不同。（不确定那部分。）他们在 wiki 上有一个特殊部分，名为Requests from Already Included CAs that are in or Ready for Discussion —— 那里列出了 A-Trust。

我认为这里的情况是，“A-Trust”从早些时候就已经扎根于商店，但他们的更新努力还没有真正奏效。他们仍然停留在那个过程中。

另外：虽然到期日期可能不是从信任库中排除的技术原因，但根据 Mozilla 政策，到期肯定是一个原因。

像根证书这样的信任锚之所以受信任，是因为它们被系统或浏览器视为受信任的。没有其他验证，例如检查撤销或到期。因此，根证书本身是否过期并不重要，而只有由该根直接或间接签署的证书的过期日期才相关。

对于信任链的验证，根证书中的公钥是最重要的部分，因为它是验证颁发证书的签名所必需的。通常您会发现同一个 CA 证书的多个版本，它们都共享相同的公钥和主题，但具有不同的到期日期、签名算法或颁发者（即，有些是自签名的，有些是由另一个 CA 签名的）。所有这些都可以同样用作信任锚，因为它们共享密钥和主题，因此在信任存储中拥有最新版本实际上并不重要。

另一个原因：Mozilla 应用程序使用证书来验证扩展（或您在 NSSAPI 中抛出的其他内容）的数字签名。在签名证书（及其根证书）过期后很长时间内，签名应该可以继续进行验证。必须保留根，以便仍然可以访问 CRL/OCSP。