Androids rodbutik krævede en OTA-opdatering for at tilføje eller fjerne rodcertifikater. Det vil ikke være tilfældet i Android 14.
Android har et lille problem, der kun rejser sit grimme hoved én gang hver blå måne, men når det gør det, forårsager det en vis panik. Heldigvis har Google en løsning i Android 14, der stopper dette problem. Problemet er, at Android-systemets rodcertifikatlager (rodlager) kun kunne opdateres via en over-the-air (OTA) opdatering i det meste af Androids eksistens. Mens OEM'er og transportører er blevet bedre til at skubbe opdateringer ud hurtigere og oftere, kunne tingene stadig være bedre. Derfor har Google udtænkt en løsning til at gøre Androids rodbutik opdaterbar via Google Play, startende i Android 14.
Når du går online hver dag, stoler du på, at din enheds software er konfigureret korrekt til at henvise dig til de rigtige servere, der hoster de websteder, du vil besøge. Det er vigtigt at etablere den rigtige forbindelse, så du ikke ender på en server, der ejes af en person med dårlige hensigter, men sikkert Det er også vigtigt at etablere den forbindelse, så alle data, du sender til den server, er krypteret under transport (TLS) og forhåbentlig ikke let snusede på. Dit operativsystem, din webbrowser og dine apps etablerer dog kun sikre forbindelser med servere på internettet (HTTPS), hvis de har tillid til serverens (TLS) sikkerhedscertifikat.
Men eftersom der er så mange websteder på internettet, vedligeholder operativsystemer, webbrowsere og apps ikke en liste over hvert websteds sikkerhedscertifikat, som de har tillid til. I stedet ser de efter, hvem der underskrev det sikkerhedscertifikat, der blev udstedt til webstedet: Var det selvsigneret eller underskrevet af en anden enhed (en certifikatmyndighed [CA]), som de har tillid til? Denne kæde af valideringer kan være flere lag dyb, indtil du når en rod-CA, der har udstedt sikkerheden certifikat, der bruges til at underskrive det certifikat, der til sidst underskrev certifikatet, der blev udstedt til det websted, du er besøger.
Antallet af rod-CA'er er meget, meget mindre end antallet af websteder, der har sikkerhedscertifikater udstedt af dem, enten direkte eller gennem en eller flere mellemliggende CA'er, hvilket gør det muligt for OS'er og webbrowsere at vedligeholde en liste over rod-CA-certifikater, som de tillid. Android har for eksempel en liste over betroede rodcertifikater, der leveres i operativsystemets skrivebeskyttede systempartition på /system/etc/security/cacerts. Hvis apps ikke gør det begrænse, hvilke certifikater man kan stole på, en praksis kaldet certifikatpinning, så bruger de som standard OS's rodlager, når de beslutter, om de skal have tillid til et sikkerhedscertifikat. Da "system"-partitionen er skrivebeskyttet, er Androids rodlager uforanderligt uden for en OS-opdatering, hvilket kan udgøre et problem, når Google vil fjerne eller tilføje et nyt rodcertifikat.
Nogle gange er et rodcertifikat ved at udløbe, hvilket potentielt kan føre til, at websteder og tjenester går i stykker, og at webbrowsere kaster advarsler op om usikre forbindelser. I nogle tilfælde er den CA, der har udstedt et rodcertifikat mistænkt for at være ondsindet eller kompromitteret. Eller a nyt rodcertifikat dukker op, der skal tilføjes til alle større OS's rodlager, før CA'en rent faktisk kan begynde at signere certifikater. Androids root-butik behøver ikke at blive opdateret så tit, men det sker nok til, at Androids relativt langsomme opdateringshastighed bliver et problem.
Startende i Android 14 har Androids rodbutik dog kan opdateres via Google Play. Android 14 har nu to mapper, der indeholder operativsystemets rodlager: den førnævnte, uforanderlige-uden for-OTA /system/etc/security/cacerts placering og den nye, opdaterbare /apex/com.[google].android.conscrypt/security/cacerts vejviser. Sidstnævnte er indeholdt i Conscrypt-modulet, et Project Mainline-modul introduceret i Android 10, der leverer Androids TLS-implementering. Da Conscrypt-modulet kan opdateres gennem Google Play-systemopdateringer, betyder det, at Androids rodbutik også vil være det.
Udover at gøre Androids rodbutik opdaterbar, tilføjer og fjerner Android 14 også nogle rodcertifikater som en del af Googles årlige opdatering til systemrodbutikken.
Rodcertifikaterne, der er blevet tilføjet til Android 14, omfatter:
- AC RAIZ FNMT-RCM SERVIDORES SEGUROS
- ANF Secure Server Root CA
- Autoridad de Certificacion Firmaprofesional CIF A62634068
- Helt sikkert Root E1
- Helt sikkert Root R1
- Certum EC-384 CA
- Certum Trusted Root CA
- D-TRUST BR Root CA 1 2020
- D-TRUST EV Root CA 1 2020
- DigiCert TLS ECC P384 Root G5
- DigiCert TLS RSA4096 Root G5
- GLOBALTRUST 2020
- GlobalSign Root E46
- GlobalSign Root R46
- HARICA TLS ECC Root CA 2021
- HARICA TLS RSA Root CA 2021
- HiPKI Root CA - G1
- ISRG Root X2
- Sikkerhedskommunikation ECC RootCA1
- Sikkerhedskommunikation RootCA3
- Telia Root CA v2
- Tugra Global Root CA ECC v3
- Tugra Global Root CA RSA v3
- TunTrust Root CA
- vTrus ECC Root CA
- vTrus Root CA
De rodcertifikater, der er blevet fjernet i Android 14 inkluderer:
- Chambers of Commerce Root - 2008
- Cybertrust Global Root
- DST Root CA X3
- EC-ACC
- GeoTrust Primary Certification Authority - G2
- Global Chambersign Root 2008
- GlobalSign
- Hellenic akademiske og forskningsinstitutioner RootCA 2011
- Network Solutions Certificate Authority
- QuoVadis Root Certification Authority
- Sonera Class2 CA
- Staat der Nederlanden EV Root CA
- Staat der Nederlanden Root CA - G3
- TrustCor ECA-1
- TrustCor RootCert CA-1
- TrustCor RootCert CA-2
- Trustis FPS Root CA
- VeriSign Universal Root Certification Authority
For en mere dybdegående forklaring af TLS-certifikater bør du læse min kollega Adam Conways artikel her. For en mere grundig analyse af, hvordan Android 14s opdaterbare rodbutik fungerer, og hvorfor den blev til, tjek ud artiklen jeg tidligere har skrevet på emnet.