NSS プロジェクトのページ から変更をたどると、
https://hg.mozilla.org/projects/nss/rev/d936c1e1c51e
で変更されていた。この変更は NSS_3_16_3_PLUS_BRANCH のブランチにおけるもの。この変更が mozilla-release にも反映されているようだ。
変更内容の詳細は NSIS 3.16.3 のリリースノート が詳しい。1024 ビットのルート証明書について、Web サイトの認証目的から外したということのようだ。
「nss」を指定したときにダウンロードされるものは、
https://hg.mozilla.org/projects/nss/file/a163e09dc4d5/lib/ckfw/builtins/certdata.txt
のファイルで、こちらは NSS_3_16_2_BRANCH のもの。最終のコミットを比較すると、NSS_3_16_2_BRANCH の certdata.txt は 2014-04-01 14:07 +0200、mozilla-release のものは 2014-08-06 20:22 +0200 なので、release の方が新しい。
新しいものを採用するという考え方に立てば、やはり release を使うべきということになるのか。しかし、上記の NSS プロジェクトのページを見ると、3.16.2 のブランチも更新があり、メンテナンスされているようなのでとりあえずはこれでいけそうかな。
「tip」って何なのか気になって調べてみたら、Mercurial の FAQ にいきあたった。最後に更新された changeset を指すってことか。現在は、3.16.2 のブランチの方が最後に更新されているのでそっちを見てるってことね。そうすると、3.16.3 のブランチの方に更新が入ると同じ問題が起こるってことか。んー、やはり一時的な対応にしかならないか...。