Android 14 macht Stammzertifikate über Google Play aktualisierbar, um Benutzer vor böswilligen Zertifizierungsstellen zu schützen

Der Root-Store von Android erforderte früher ein OTA-Update, um Root-Zertifikate hinzuzufügen oder zu entfernen. Das wird in Android 14 nicht der Fall sein.

Android hat ein kleines Problem, das nur einmal in jedem Blue Moon seinen hässlichen Kopf zeigt, aber wenn es passiert, löst es einige Panik aus. Glücklicherweise hat Google mit Android 14 eine Lösung parat, die dieses Problem im Keim erstickt. Das Problem besteht darin, dass der Root-Zertifikatspeicher (Root Store) des Android-Systems die meiste Zeit der Existenz von Android nur über ein Over-the-Air-Update (OTA) aktualisiert werden konnte. Obwohl OEMs und Netzbetreiber besser darin geworden sind, Updates schneller und häufiger bereitzustellen, könnten die Dinge noch besser werden. Aus diesem Grund hat Google eine Lösung entwickelt, um den Root-Store von Android ab sofort über Google Play aktualisierbar zu machen Android 14.

Wenn Sie jeden Tag online gehen, vertrauen Sie darauf, dass die Software Ihres Geräts richtig konfiguriert ist, um Sie auf die richtigen Server zu verweisen, auf denen die Websites gehostet werden, die Sie besuchen möchten. Das Herstellen der richtigen Verbindung ist wichtig, damit Sie nicht auf einem Server landen, der jemandem mit bösen Absichten gehört, sondern sicher Der Aufbau dieser Verbindung ist ebenfalls wichtig, damit alle Daten, die Sie an diesen Server senden, während der Übertragung verschlüsselt werden (TLS) und hoffentlich nicht einfach übertragen werden können schnüffelte weiter. Ihr Betriebssystem, Ihr Webbrowser und Ihre Apps stellen jedoch nur dann sichere Verbindungen mit Servern im Internet (HTTPS) her, wenn sie dem Sicherheitszertifikat (TLS) des Servers vertrauen.

Da es jedoch so viele Websites im Internet gibt, führen Betriebssysteme, Webbrowser und Apps nicht eine Liste der Sicherheitszertifikate jeder Website, der sie vertrauen. Stattdessen prüfen sie, wer das für die Site ausgestellte Sicherheitszertifikat signiert hat: Wurde es selbst signiert oder von einer anderen Entität (einer Zertifizierungsstelle [CA]), der sie vertrauen? Diese Validierungskette kann mehrere Ebenen umfassen, bis Sie eine Stammzertifizierungsstelle erreichen, die die Sicherheit ausgestellt hat Zertifikat, das zum Signieren des Zertifikats verwendet wird, das letztendlich das für die Site, auf der Sie sich befinden, ausgestellte Zertifikat signiert hat Besuch.

Die Anzahl der Root-CAs ist viel, viel kleiner als die Anzahl der Websites, die von ihnen entweder direkt oder direkt Sicherheitszertifikate ausgestellt haben über eine oder mehrere zwischengeschaltete Zertifizierungsstellen, wodurch es für Betriebssysteme und Webbrowser möglich ist, eine Liste der Stammzertifizierungsstellenzertifikate zu verwalten, die sie verwenden Vertrauen. Android verfügt beispielsweise über eine Liste vertrauenswürdiger Stammzertifikate, die in der schreibgeschützten Systempartition des Betriebssystems unter /system/etc/security/cacerts ausgeliefert werden. Wenn Apps dies nicht tun Begrenzen Sie, welchen Zertifikaten vertraut werden soll, eine Praxis namens Zertifikat-Pinning, dann verwenden sie standardmäßig den Stammspeicher des Betriebssystems, wenn sie entscheiden, ob sie einem Sicherheitszertifikat vertrauen. Da die „System“-Partition schreibgeschützt ist, ist der Root-Speicher von Android außerhalb eines Betriebssystem-Updates unveränderlich, was ein Problem darstellen kann, wenn Google ein neues Root-Zertifikat entfernen oder hinzufügen möchte.

Manchmal ist es ein Stammzertifikat bald ablaufen, was möglicherweise dazu führt, dass Websites und Dienste kaputt gehen und Webbrowser Warnungen vor unsicheren Verbindungen ausgeben. In manchen Fällen ist es die Zertifizierungsstelle, die ein Stammzertifikat ausgestellt hat mutmaßlich böswillig oder kompromittiert sind. Oder ein neues Root-Zertifikat Es taucht ein Fehler auf, der zum Stammspeicher jedes größeren Betriebssystems hinzugefügt werden muss, bevor die Zertifizierungsstelle tatsächlich mit dem Signieren von Zertifikaten beginnen kann. Der Root-Store von Android muss nicht allzu oft aktualisiert werden, aber es kommt häufig vor, dass die relativ langsame Aktualisierungsrate von Android zum Problem wird.

Ab Android 14 ist der Root-Store von Android jedoch verfügbar über Google Play aktualisierbar werden. Android 14 verfügt jetzt über zwei Verzeichnisse, die den Stammspeicher des Betriebssystems enthalten: das oben erwähnte, unveränderliche Verzeichnis außerhalb von OTA /system/etc/security/cacerts-Speicherort und das neue, aktualisierbare /apex/com.[google].android.conscrypt/security/cacerts Verzeichnis. Letzteres ist im Conscrypt-Modul enthalten, einem in Android 10 eingeführten Project Mainline-Modul, das die TLS-Implementierung von Android bereitstellt. Da das Conscrypt-Modul über Google Play System Updates aktualisierbar ist, bedeutet dies, dass dies auch für den Root Store von Android gilt.

Abgesehen davon, dass der Root-Store von Android aktualisierbar ist, fügt Android 14 im Rahmen der jährlichen Aktualisierung des System-Root-Stores durch Google auch einige Root-Zertifikate hinzu und entfernt sie.

Zu den Root-Zertifikaten, die zu Android 14 hinzugefügt wurden, gehören:

  1. AC RAIZ FNMT-RCM SICHERHEITSSERVICE
  2. Stammzertifizierungsstelle des ANF Secure Servers
  3. Autoridad de Certificacion Firmaprofesional CIF A62634068
  4. Sicherlich Root E1
  5. Sicherlich Root R1
  6. Certum EC-384 CA
  7. Certum vertrauenswürdige Stammzertifizierungsstelle
  8. D-TRUST BR Root CA 1 2020
  9. D-TRUST EV Root CA 1 2020
  10. DigiCert TLS ECC P384 Root G5
  11. DigiCert TLS RSA4096 Root G5
  12. GLOBALTRUST 2020
  13. GlobalSign Root E46
  14. GlobalSign Root R46
  15. HARICA TLS ECC Root CA 2021
  16. HARICA TLS RSA Root CA 2021
  17. HiPKI-Root-CA – G1
  18. ISRG Root X2
  19. Sicherheitskommunikation ECC RootCA1
  20. Sicherheitskommunikations-RootCA3
  21. Telia Root CA v2
  22. Tugra Global Root CA ECC v3
  23. Tugra Global Root CA RSA v3
  24. TunTrust-Root-CA
  25. vTrus ECC Root CA
  26. vTrus-Stammzertifizierungsstelle

Zu den Stammzertifikaten, die in Android 14 entfernt wurden, gehören:

  1. Wurzel der Handelskammern – 2008
  2. Globale Wurzel von Cybertrust
  3. DST-Root-CA X3
  4. EC-ACC
  5. Primäre GeoTrust-Zertifizierungsstelle – G2
  6. Global Chambersign Root 2008
  7. GlobalSign
  8. Hellenische akademische und Forschungseinrichtungen RootCA 2011
  9. Zertifizierungsstelle für Netzwerklösungen
  10. QuoVadis-Stammzertifizierungsstelle
  11. Sonera Class2 CA
  12. Staat der Nederlanden EV Root CA
  13. Staat der Niederlande Root CA – G3
  14. TrustCor ECA-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Trustis FPS Root CA
  18. VeriSign Universal Root Certification Authority

Für eine ausführlichere Erklärung von TLS-Zertifikaten sollten Sie meinen Kollegen lesen Adam Conways Artikel hier. Eine ausführlichere Analyse, wie der aktualisierbare Root-Store von Android 14 funktioniert und warum er entstanden ist, finden Sie hier der Artikel, den ich zuvor geschrieben habe zum Thema.