主要观点：Mozilla 和 Chrome 因合规问题将移除对 Entrust 证书机构的信任，仅不信任新颁发的证书，旧证书可继续使用，但 Mozilla 信任库不仅被 Firefox 使用，还被众多非浏览器 TLS 客户端使用，多数非浏览器客户端不能正确处理即将到来的不信任，可能导致比预期更严重的中断，服务器运营者应提前更换 Entrust 证书。
关键信息：

• Mozilla 存储在 mozilla-central 仓库的根证书列表可限制根证书使用，近期将为 Entrust 根证书标记不信任日期为 2024 年 11 月 30 日。
• 多数开源 TLS 客户端获取根证书包的方式多样，如操作系统包、curl 等，但 PEM 包中无标准包含不信任属性的方式。
• 不同的根证书包提供方对带有不信任属性的根证书有不同处理方式，有的包含，有的排除。
• Fedora/Arch 的 ca-certificates 包还提供 p11-kit 持久化格式的根证书包，但不清楚哪些软件使用。
  重要细节：
• Chrome 将拒绝 2024 年 11 月 11 日后颁发的 Entrust 证书，Firefox 将拒绝 2024 年 11 月 30 日后颁发的 Entrust 证书。
• 多数开源 TLS 客户端获取根证书包的常见位置及相关项目。
• curl 等项目在处理带有不信任属性的根证书方面的更新情况及存在的问题。
• 建议服务器运营者提前更换 Entrust 证书，根证书包提供方应提供带有不信任属性的 p11-kit 持久化文件，且认为应限制证书有效期而非颁发日期来处理不信任问题。