Kořenové úložiště systému Android dříve vyžadovalo aktualizaci OTA pro přidání nebo odebrání kořenových certifikátů. V Androidu 14 tomu tak nebude.
Android má malý problém, že jen jednou za modrý měsíc vztyčí svou ošklivou hlavu, ale když se tak stane, způsobí paniku. Naštěstí má Google v Androidu 14 řešení, které tento problém odstraní hned v zárodku. Problém je v tom, že úložiště kořenových certifikátů systému Android (kořenové úložiště) bylo možné po většinu existence systému Android aktualizovat pouze prostřednictvím aktualizace OTA (over-the-air). I když se výrobci OEM a operátoři zlepšili v rychlejším a častějším vydávání aktualizací, stále by to mohlo být lepší. To je důvod, proč Google vymyslel řešení, aby byl kořenový obchod Androidu aktualizován přes Google Play, a to od roku Android 14.
Když jste každý den online, důvěřujete, že software vašeho zařízení je správně nakonfigurován tak, aby vás nasměroval na správné servery hostující webové stránky, které chcete navštívit. Navázání správného připojení je důležité, abyste neskončili na serveru vlastněném někým se špatnými úmysly, ale bezpečně navázání tohoto připojení je také důležité, takže všechna data, která posíláte na tento server, jsou šifrována při přenosu (TLS) a doufejme, že je nelze snadno slídil dál. Váš operační systém, webový prohlížeč a aplikace však navážou zabezpečená připojení se servery na internetu (HTTPS), pouze pokud důvěřují bezpečnostnímu certifikátu serveru (TLS).
Vzhledem k tomu, že na internetu je tolik webových stránek, operační systémy, webové prohlížeče a aplikace neudržují seznam bezpečnostních certifikátů všech stránek, kterým důvěřují. Místo toho se podívají, kdo podepsal bezpečnostní certifikát vydaný webu: Byl podepsán sám sebou nebo podepsán jinou entitou (certifikační autoritou [CA]), které důvěřují? Tento řetězec ověřování může mít několik vrstev, dokud se nedostanete ke kořenové CA, která vydala zabezpečení certifikát používaný k podpisu certifikátu, který nakonec podepsal certifikát vydaný webu, na kterém se nacházíte hostující.
Počet kořenových CA je mnohem, mnohem menší než počet webů, které mají bezpečnostní certifikáty vydané jimi, ať už přímo nebo prostřednictvím jedné nebo více zprostředkujících certifikačních autorit, což umožňuje operačním systémům a webovým prohlížečům udržovat seznam certifikátů kořenové certifikační autority, které důvěra. Android má například seznam důvěryhodných kořenových certifikátů, které jsou dodávány v systémovém oddílu operačního systému pouze pro čtení na adrese /system/etc/security/cacerts. Pokud aplikace ne omezit, kterým certifikátům důvěřovat, postup zvaný připínání certifikátu, pak při rozhodování, zda důvěřovat bezpečnostnímu certifikátu, ve výchozím nastavení použijí kořenové úložiště operačního systému. Vzhledem k tomu, že „systémový“ oddíl je pouze pro čtení, je kořenové úložiště Androidu mimo aktualizaci operačního systému neměnné, což může představovat problém, když chce Google odebrat nebo přidat nový kořenový certifikát.
Někdy je kořenový certifikát brzy vyprší, což může vést k narušení webů a služeb a k tomu, že webové prohlížeče budou zobrazovat varování o nezabezpečeném připojení. V některých případech je to CA, která vydala kořenový certifikát podezřelé ze zlomyslného nebo kompromitovaného. Nebo a nový kořenový certifikát Objeví se, které se musí přidat do kořenového úložiště každého hlavního OS, než může CA skutečně začít podepisovat certifikáty. Kořenový obchod Androidu nemusí být aktualizován tak často, ale stává se dostatečně, že relativně pomalé tempo aktualizací Androidu se stává problémem.
Počínaje Androidem 14 však má kořenový obchod Androidu budou aktualizovatelné prostřednictvím Google Play. Android 14 má nyní dva adresáře obsahující kořenové úložiště OS: výše uvedený, neměnný-mimo-OTA /system/etc/security/cacerts umístění a nový, aktualizovatelný /apex/com.[google].android.conscrypt/security/cacerts adresář. Ten je obsažen v modulu Conscrypt, modulu Project Mainline představeném v Androidu 10, který poskytuje implementaci TLS pro Android. Vzhledem k tomu, že modul Conscrypt lze aktualizovat prostřednictvím aktualizací systému Google Play, znamená to, že bude k dispozici i kořenový obchod Androidu.
Kromě aktualizace kořenového úložiště Androidu Android 14 také přidává a odebírá některé kořenové certifikáty jako součást roční aktualizace od společnosti Google do kořenového úložiště systému.
Mezi kořenové certifikáty, které byly přidány do systému Android 14, patří:
- AC RAIZ FNMT-RCM SERVIDORES SEGUROS
- ANF Secure Server Root CA
- Autoridad de Certificacion Firmaprofesional CIF A62634068
- Určitě kořen E1
- Určitě Root R1
- Certum EC-384 CA
- Certum Trusted Root CA
- D-TRUST BR Root CA 1 2020
- D-TRUST EV Root CA 1 2020
- DigiCert TLS ECC P384 Root G5
- DigiCert TLS RSA4096 Root G5
- GLOBALTRUST 2020
- GlobalSign Root E46
- GlobalSign Root R46
- HARICA TLS ECC Root CA 2021
- HARICA TLS RSA Root CA 2021
- HiPKI Root CA - G1
- Kořen ISRG X2
- Bezpečnostní komunikace ECC RootCA1
- Zabezpečení komunikace RootCA3
- Telia Root CA v2
- Tugra Global Root CA ECC v3
- Tugra Global Root CA RSA v3
- TunTrust Root CA
- vTrus ECC Root CA
- vTrus Root CA
Mezi kořenové certifikáty, které byly v systému Android 14 odstraněny, patří:
- Kořen obchodních komor - 2008
- Cybertrust Global Root
- DST Root CA X3
- EC-ACC
- Primární certifikační autorita GeoTrust - G2
- Global Chambersign Root 2008
- GlobalSign
- Řecké akademické a výzkumné instituce RootCA 2011
- Certifikační autorita síťových řešení
- Kořenová certifikační autorita QuoVadis
- Sonera Class2 CA
- Staat der Nederlanden EV Root CA
- Staat der Nederlanden Root CA - G3
- TrustCor ECA-1
- TrustCor RootCert CA-1
- TrustCor RootCert CA-2
- Trustis FPS Root CA
- Univerzální kořenová certifikační autorita VeriSign
Pro podrobnější vysvětlení certifikátů TLS byste si měli přečíst mého kolegu Článek Adama Conwaye zde. Pro důkladnější analýzu toho, jak funguje aktualizovatelný kořenový obchod Android 14 a proč vznikl, se podívejte článek, který jsem napsal dříve na téma.