<div dir="ltr"><div>All,</div><div>For TLS Certificates, I think it was discovered that they would still work if there was no EKU in them (or maybe that was just the chaining down from Intermediate CA certificates).  Anyway, I have commented in a discussion on the <a href="https://groups.google.com/a/mozilla.org/g/dev-security-policy/c/wJ318VEXdTo/m/zM66bPpEAgAJ">Mozilla Dev-Security-Policy list</a> about the scope of the Mozilla Root Store Policy as it applies to SMIME certificates. Presence of the anyEKU EKU should bring them in scope of Mozilla policy, but what about end entity certificates that have no EKU?  Does anyone want to comment on that thread in MDSP?</div><div>Thanks,</div><div>Ben<br></div><div><br></div></div>