يجعل Android 14 شهادات الجذر قابلة للتحديث عبر Google Play لحماية المستخدمين من CA الخبيثة

التليفون المحمولJul 20, 2023

يستخدم متجر جذر Android لطلب تحديث OTA لإضافة شهادات الجذر أو إزالتها. لن يكون هذا هو الحال في Android 14.

يعاني نظام Android من مشكلة بسيطة لا ترفع رأسه القبيح إلا مرة واحدة كل قمر أزرق ، ولكن عندما يحدث ذلك ، فإنه يسبب بعض الذعر. لحسن الحظ ، لدى Google حلاً في Android 14 يقضي على هذه المشكلة في مهدها. تكمن المشكلة في أنه لا يمكن تحديث مخزن الشهادات الجذر لنظام Android (متجر الجذر) إلا عبر تحديث عبر الهواء (OTA) لمعظم فترة وجود Android. في حين أن الشركات المصنعة للمعدات الأصلية وشركات النقل قد تحسنت في دفع التحديثات بسرعة أكبر وبشكل متكرر ، فلا يزال من الممكن أن تتحسن الأمور. لهذا السبب ابتكرت Google حلاً لجعل متجر الجذر في Android قابلاً للتحديث عبر Google Play ، بدءًا من أندرويد 14.

عندما تتصل بالإنترنت كل يوم ، فإنك تثق في أن برنامج جهازك مهيأ بشكل صحيح لتوجيهك إلى الخوادم الصحيحة التي تستضيف مواقع الويب التي تريد زيارتها. يعد إنشاء الاتصال الصحيح أمرًا مهمًا حتى لا ينتهي بك الأمر على خادم مملوك من قبل شخص لديه نوايا سيئة ، ولكن بشكل آمن يعد إنشاء هذا الاتصال مهمًا أيضًا ، لذا فإن أي بيانات ترسلها إلى ذلك الخادم يتم تشفيرها أثناء النقل (TLS) ونأمل ألا تكون سهلة تطفل على. لن يقوم نظام التشغيل ومتصفح الويب والتطبيقات إلا بإنشاء اتصالات آمنة مع الخوادم على الإنترنت (HTTPS) ، على الرغم من ذلك ، إذا كانوا يثقون في شهادة أمان الخادم (TLS).

نظرًا لوجود الكثير من مواقع الويب على الإنترنت ، فإن أنظمة التشغيل ومتصفحات الويب والتطبيقات لا تحتفظ بقائمة بشهادة أمان كل موقع تثق به. بدلاً من ذلك ، يتطلعون لمعرفة من قام بالتوقيع على شهادة الأمان الصادرة إلى الموقع: هل كانت موقعة ذاتيًا أم موقعة من قِبل كيان آخر (هيئة مصدق [CA]) يثقون بها؟ يمكن أن تكون سلسلة عمليات التحقق هذه عميقة بعدة طبقات حتى تصل إلى المرجع المصدق الجذري الذي أصدر الأمان الشهادة المستخدمة لتوقيع الشهادة التي وقعت في النهاية على الشهادة الصادرة إلى الموقع الذي تتواجد فيه زيارة.

عدد المراجع المصدقة الجذر أصغر بكثير من عدد مواقع الويب التي لديها شهادات أمان صادرة عنها ، إما بشكل مباشر أو من خلال مرجع مصدق وسيط واحد أو أكثر ، مما يجعل من الممكن لأنظمة التشغيل ومتصفحات الويب الاحتفاظ بقائمة من شهادات المرجع المصدق الجذرية التي يثق. لدى Android ، على سبيل المثال ، قائمة بشهادات الجذر الموثوقة التي يتم شحنها في قسم نظام القراءة فقط لنظام التشغيل في / system / etc / security / cacerts. إذا كانت التطبيقات لا تفعل ذلك تحديد الشهادات التي تثق بها، وهي ممارسة تسمى تثبيت الشهادة ، ثم يتم استخدام مخزن الجذر لنظام التشغيل بشكل افتراضي عند تحديد ما إذا كان سيتم الوثوق بشهادة أمان أم لا. نظرًا لأن قسم "النظام" للقراءة فقط ، فإن متجر جذر Android غير قابل للتغيير خارج تحديث نظام التشغيل ، مما قد يمثل مشكلة عندما تريد Google إزالة أو إضافة شهادة جذر جديدة.

في بعض الأحيان ، تكون شهادة الجذر على وشك الانتهاء، من المحتمل أن تؤدي إلى تعطل المواقع والخدمات وتلقي متصفحات الويب بتحذيرات بشأن الاتصالات غير الآمنة. في بعض الحالات ، يكون المرجع المصدق (CA) الذي أصدر شهادة الجذر هو يشتبه في أنه ضار أو تم اختراقه. أو أ شهادة جذر جديدة التي تحتاج إلى إضافة نفسها إلى كل متجر جذر رئيسي لنظام التشغيل قبل أن يبدأ المرجع المصدق بالفعل في توقيع الشهادات. لا يحتاج متجر جذر Android إلى التحديث كثيرًا ، ولكن يحدث بما يكفي أن تصبح وتيرة تحديثات Android البطيئة نسبيًا مشكلة.

بدءًا من Android 14 ، أصبح متجر الجذر لنظام Android تصبح قابلة للتحديث عبر Google Play. يحتوي Android 14 الآن على دليلين يحتويان على مخزن الجذر لنظام التشغيل: المذكور أعلاه ، غير قابل للتغيير خارج OTA / system / etc / security / cacerts والموقع الجديد والقابل للتحديث /apex/com.[google].android.conscrypt/security/cacerts الدليل. تم تضمين الأخير في وحدة Conscrypt ، وهي وحدة Project Mainline تم تقديمها في Android 10 والتي توفر تطبيق TLS من Android. نظرًا لأن وحدة Conscrypt قابلة للتحديث من خلال تحديثات نظام Google Play ، فإن هذا يعني أن متجر جذر Android سيكون كذلك.

بصرف النظر عن جعل متجر جذر Android قابلاً للتحديث ، يضيف Android 14 أيضًا ويزيل بعض شهادات الجذر كجزء من تحديث Google السنوي لمتجر جذر النظام.

تتضمن شهادات الجذر التي تمت إضافتها إلى Android 14 ما يلي:

  1. خدمات AC RAIZ FNMT-RCM SEGUROS
  2. ANF ​​Secure Server CA الجذر
  3. Autoridad de Certificacion Firmaprofesional CIF A62634068
  4. بالتأكيد جذر E1
  5. بالتأكيد الجذر R1
  6. Certum EC-384 CA
  7. المرجع المصدق الجذر الموثوق به
  8. D-TRUST BR Root CA 1 2020
  9. D-TRUST EV Root CA 1 2020
  10. DigiCert TLS ECC P384 الجذر G5
  11. DigiCert TLS RSA4096 الجذر G5
  12. جلوبال ترست 2020
  13. جلوبال ساين روت E46
  14. جلوبال ساين روت R46
  15. HARICA TLS ECC Root CA 2021
  16. HARICA TLS RSA Root CA 2021
  17. HiPKI Root CA - G1
  18. ISRG Root X2
  19. الاتصالات الأمنية ECC RootCA1
  20. RootCA3 الاتصالات الأمنية
  21. Telia Root CA v2.0
  22. Tugra Global Root CA ECC v3.1.0
  23. برنامج Tugra Global Root CA RSA v3.0
  24. TunTrust Root CA
  25. vTrus ECC الجذر CA
  26. vTrus الجذر CA

تتضمن شهادات الجذر التي تمت إزالتها في Android 14 ما يلي:

  1. جذر الغرف التجارية - 2008
  2. برنامج Cybertrust Global Root
  3. DST الجذر CA X3
  4. EC-ACC
  5. المرجع المصدق الأساسي GeoTrust - G2
  6. جلوبال تشامبرزاين روت 2008
  7. GlobalSign
  8. المؤسسات الأكاديمية والبحثية اليونانية RootCA 2011
  9. المرجع المصدق لحلول الشبكة
  10. المرجع المصدق لـ QuoVadis Root
  11. Sonera Class2 CA
  12. Staat der Nederlanden EV Root CA
  13. Staat der Nederlanden Root CA - G3
  14. TrustCor ECA-1
  15. برنامج TrustCor RootCert CA-1
  16. برنامج TrustCor RootCert CA-2
  17. Trustis FPS الجذر CA
  18. المرجع المصدق للجذر العالمي من VeriSign

للحصول على شرح أكثر تعمقًا لشهادات TLS ، يجب أن تقرأ زميلي مقالة آدم كونواي هنا. للحصول على تحليل أكثر شمولاً لكيفية عمل متجر الجذر القابل للتحديث لنظام Android 14 ولماذا أصبح كذلك ، تحقق من ذلك المقال الذي كتبته سابقًا حول هذا الموضوع.