PKI：Public key infrastructure
用户终端制造商是 pki 的一环，反正控制着一部分用户的终端，所以自己想干啥就干啥呗，前提是用户不愿意放弃这个终端。

目前控制用户侧跟证书分发的

消费领域
微软控制 windows
谷歌控制 android
苹果控制 iOS macOS
mozilla 控制 firefox 浏览器

生产领域
各大 linux 发行版自己维护自己的 ca-certificats
oracle 控制 oracle jre
curl 有自己维护的，但在各 linux 发行版中都会被替换为发行版自己的

mozilla 如果是自己要求的，那也只影响使用 firefox 浏览器的用户，对于调用方是 java 的 http api 来说，确实没必要更换新根签发的证书，毕竟不是浏览器去调用的前端 api 。
或者、大不了手动更新一下 oracle jre 内的证书列表也不是不行，比如当年 oracle jre 7 不就因为跟不上时代，市面上新证书的根没在列表内，导致一大批 java 7 服务出现问题需要手动往 jre 7 里导新根么。

但如果是 pki 业界公认的根证书时间问题，需要限制到 15 年内，那肯定之后不止 mozilla 会行动。比如当年沃通证书，mozilla ban 完 apple ban ，ban 的机构足够多，沃通这 CA 的生存空间也越来越小，最后只能秽土转生 wotrust 重开新号了。