Android 14 прави основните сертификати обновяеми чрез Google Play, за да защити потребителите от злонамерени CA

ПодвиженJul 20, 2023

Основното хранилище на Android изискваше OTA актуализация за добавяне или премахване на основни сертификати. Това няма да е така в Android 14.

Android има лек проблем, който повдига грозната си глава само веднъж на всяка синя луна, но когато се случи, предизвиква известна паника. За щастие, Google има решение в Android 14, което премахва този проблем в зародиш. Проблемът е, че хранилището на основни сертификати на системата Android (основно хранилище) може да се актуализира само чрез актуализация по въздуха (OTA) през по-голямата част от съществуването на Android. Въпреки че производителите на оригинално оборудване и превозвачите са станали по-добри в изтласкването на актуализации по-бързо и често, нещата все още могат да бъдат по-добри. Ето защо Google измисли решение, за да направи основния магазин на Android актуализиран чрез Google Play, започвайки от Android 14.

Когато влизате онлайн всеки ден, вярвате, че софтуерът на вашето устройство е конфигуриран правилно, за да ви насочи към правилните сървъри, хостващи уебсайтовете, които искате да посетите. Установяването на правилната връзка е важно, за да не се окажете на сървър, притежаван от някой с лоши намерения, но сигурно установяването на тази връзка също е важно, така че всички данни, които изпращате до този сървър, са криптирани при пренос (TLS) и се надяваме, че не могат да бъдат лесно подслушван. Вашата операционна система, уеб браузър и приложения ще установят защитени връзки със сървъри в интернет (HTTPS), но ако се доверят на сертификата за сигурност на сървъра (TLS).

Тъй като в интернет има толкова много уебсайтове, операционните системи, уеб браузърите и приложенията не поддържат списък със сертификатите за сигурност на всеки сайт, на които имат доверие. Вместо това те гледат да видят кой е подписал сертификата за сигурност, издаден на сайта: Самоподписан ли е или е подписан от друг обект (сертифициращ орган [CA]), на който имат доверие? Тази верига от валидации може да бъде дълбока на няколко слоя, докато стигнете до основен CA, който е издал сигурността сертификат, използван за подписване на сертификата, който в крайна сметка е подписал сертификата, издаден на сайта, на който се намирате гостуващ.

Броят на основните CA е много, много по-малък от броя на уебсайтовете, които имат сертификати за сигурност, издадени от тях, директно или чрез един или повече посреднически CAs, като по този начин прави възможно за операционните системи и уеб браузърите да поддържат списък с основни CA сертификати, които те Доверие. Android, например, има списък с доверени главни сертификати, които се доставят в системния дял само за четене на операционната система в /system/etc/security/cacerts. Ако приложенията не го правят ограничете на кои сертификати да се доверите, практика, наречена фиксиране на сертификати, тогава те по подразбиране използват основното хранилище на операционната система, когато решават дали да се доверят на сертификат за сигурност. Тъй като „системният“ дял е само за четене, основното хранилище на Android е неизменно извън актуализация на ОС, което може да създаде проблем, когато Google иска да премахне или добави нов основен сертификат.

Понякога е основен сертификат на път да изтече, което потенциално води до счупване на сайтове и услуги и уеб браузъри, извеждащи предупреждения за несигурни връзки. В някои случаи CA, който е издал основен сертификат, е за които се подозира, че са злонамерени или компрометирани. Или а нов основен сертификат изниква, който трябва да се добави към основното хранилище на всяка основна операционна система, преди CA да може действително да започне да подписва сертификати. Основният магазин на Android не трябва да се актуализира толкова често, но се случва достатъчно, че сравнително бавното темпо на актуализации на Android се превръща в проблем.

Започвайки от Android 14 обаче, основният магазин на Android има стават актуализирани чрез Google Play. Android 14 вече има две директории, съдържащи основното хранилище на операционната система: гореспоменатата, immutable-outside-of-OTA /system/etc/security/cacerts местоположението и новия /apex/com.[google].android.conscrypt/security/cacerts указател. Последният се съдържа в модула Conscrypt, модул Project Mainline, въведен в Android 10, който осигурява TLS внедряването на Android. Тъй като модулът Conscrypt може да се актуализира чрез системни актуализации на Google Play, това означава, че основният магазин на Android също ще бъде такъв.

Освен че прави основното хранилище на Android възможност за актуализиране, Android 14 също добавя и премахва някои основни сертификати като част от годишната актуализация на Google за системното основно хранилище.

Основните сертификати, които са добавени към Android 14, включват:

  1. AC RAIZ FNMT-RCM СЕРВИДОРИ SEGUROS
  2. ANF ​​Secure Server Root CA
  3. Сертификат на професионална фирма CIF A62634068
  4. Със сигурност Root E1
  5. Разбира се Root R1
  6. Certum EC-384 CA
  7. Certum Trusted Root CA
  8. D-TRUST BR Root CA 1 2020
  9. D-TRUST EV Root CA 1 2020
  10. DigiCert TLS ECC P384 Root G5
  11. DigiCert TLS RSA4096 Root G5
  12. GLOBALTRUST 2020
  13. GlobalSign Root E46
  14. GlobalSign Root R46
  15. HARICA TLS ECC Root CA 2021
  16. HARICA TLS RSA Root CA 2021
  17. HiPKI Root CA - G1
  18. ISRG корен X2
  19. Комуникация за сигурност ECC RootCA1
  20. Комуникация за сигурност RootCA3
  21. Telia Root CA v2
  22. Tugra Global Root CA ECC v3
  23. Tugra Global Root CA RSA v3
  24. TunTrust Root CA
  25. vTrus ECC Root CA
  26. vTrus Root CA

Основните сертификати, които са премахнати в Android 14, включват:

  1. Корен на търговските камари - 2008 г
  2. Глобален корен на Cybertrust
  3. DST корен CA X3
  4. EC-ACC
  5. Основен сертифициращ орган на GeoTrust - G2
  6. Global Chambersign Root 2008
  7. GlobalSign
  8. Гръцки академични и изследователски институции RootCA 2011
  9. Сертифициращ орган за мрежови решения
  10. Основен сертифициращ орган QuoVadis
  11. Sonera Class2 CA
  12. Staat der Nederlanden EV Root CA
  13. Staat der Nederlanden Root CA - G3
  14. TrustCor ECA-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Trustis FPS Root CA
  18. VeriSign Universal Root Certification Authority

За по-задълбочено обяснение на TLS сертификатите трябва да прочетете моя колега Статията на Адам Конуей тук. За по-задълбочен анализ на това как работи обновяващото се основно хранилище на Android 14 и защо се появи, вижте статията, която написах преди по темата.