Το Android 14 καθιστά τα πιστοποιητικά root με δυνατότητα ενημέρωσης μέσω του Google Play για την προστασία των χρηστών από κακόβουλες CA

ΚινητόJul 20, 2023

Το root store του Android απαιτούσε ενημέρωση OTA για την προσθήκη ή την κατάργηση πιστοποιητικών root. Αυτό δεν θα συμβεί στο Android 14.

Το Android έχει ένα μικρό πρόβλημα που σηκώνει το άσχημο κεφάλι του μόνο μία φορά κάθε μπλε φεγγάρι, αλλά όταν το κάνει, προκαλεί κάποιο πανικό. Ευτυχώς, η Google έχει μια λύση στο Android 14 που λύνει αυτό το πρόβλημα στην αρχή. Το πρόβλημα είναι ότι το ριζικό κατάστημα πιστοποιητικών του συστήματος Android (root store) θα μπορούσε να ενημερωθεί μόνο μέσω μιας ενημέρωσης over-the-air (OTA) για το μεγαλύτερο μέρος της ύπαρξης του Android. Ενώ οι OEM και οι πάροχοι έχουν γίνει καλύτεροι στην προώθηση ενημερώσεων πιο γρήγορα και συχνότερα, τα πράγματα θα μπορούσαν να είναι ακόμα καλύτερα. Αυτός είναι ο λόγος για τον οποίο η Google έχει επινοήσει μια λύση για να κάνει το root store του Android να ενημερώνεται μέσω του Google Play, ξεκινώντας από το Android 14.

Όταν συνδέεστε καθημερινά στο διαδίκτυο, πιστεύετε ότι το λογισμικό της συσκευής σας έχει ρυθμιστεί σωστά για να σας οδηγεί στους σωστούς διακομιστές που φιλοξενούν τους ιστότοπους που θέλετε να επισκεφτείτε. Η δημιουργία της σωστής σύνδεσης είναι σημαντική, ώστε να μην καταλήξετε σε διακομιστή που ανήκει σε κάποιον με κακές προθέσεις, αλλά με ασφάλεια Η δημιουργία αυτής της σύνδεσης είναι επίσης σημαντική, επομένως όλα τα δεδομένα που στέλνετε σε αυτόν τον διακομιστή είναι κρυπτογραφημένα κατά τη μεταφορά (TLS) και ελπίζουμε ότι δεν μπορούν να είναι εύκολα κατακλύζεται. Το λειτουργικό σύστημα, το πρόγραμμα περιήγησης ιστού και οι εφαρμογές σας θα δημιουργήσουν ασφαλείς συνδέσεις με διακομιστές στο Διαδίκτυο (HTTPS), ωστόσο, εάν εμπιστεύονται το πιστοποιητικό ασφαλείας του διακομιστή (TLS).

Επειδή υπάρχουν τόσοι πολλοί ιστότοποι στο Διαδίκτυο, ωστόσο, τα λειτουργικά συστήματα, τα προγράμματα περιήγησης ιστού και οι εφαρμογές δεν διατηρούν μια λίστα με τα πιστοποιητικά ασφαλείας κάθε ιστότοπου που εμπιστεύονται. Αντίθετα, ψάχνουν να δουν ποιος υπέγραψε το πιστοποιητικό ασφαλείας που εκδόθηκε στον ιστότοπο: Ήταν αυτουπογεγραμμένο ή υπογεγραμμένο από άλλη οντότητα (αρχή έκδοσης πιστοποιητικών [CA]) που εμπιστεύονται; Αυτή η αλυσίδα επικυρώσεων μπορεί να έχει πολλά επίπεδα βαθιά μέχρι να φτάσετε σε μια ΑΠ ρίζας που εξέδωσε την ασφάλεια πιστοποιητικό που χρησιμοποιείται για την υπογραφή του πιστοποιητικού που υπέγραψε τελικά το πιστοποιητικό που εκδόθηκε στον ιστότοπο που βρίσκεστε επίσκεψη.

Ο αριθμός των CA root είναι πολύ, πολύ μικρότερος από τον αριθμό των ιστότοπων που διαθέτουν πιστοποιητικά ασφαλείας που έχουν εκδοθεί από αυτούς, είτε άμεσα είτε μέσω μιας ή περισσότερων ενδιάμεσων CA, καθιστώντας έτσι εφικτό για τα λειτουργικά συστήματα και τα προγράμματα περιήγησης ιστού να διατηρούν μια λίστα πιστοποιητικών CA root που εμπιστοσύνη. Το Android, για παράδειγμα, έχει μια λίστα με αξιόπιστα πιστοποιητικά ρίζας που αποστέλλονται στο διαμέρισμα συστήματος μόνο για ανάγνωση του λειτουργικού συστήματος στη διεύθυνση /system/etc/security/cacerts. Εάν οι εφαρμογές δεν το κάνουν να περιορίσετε ποια πιστοποιητικά να εμπιστεύεστε, μια πρακτική που ονομάζεται καρφίτσωμα πιστοποιητικού, και στη συνέχεια χρησιμοποιούν από προεπιλογή το root store του λειτουργικού συστήματος όταν αποφασίζουν αν θα εμπιστευτούν ένα πιστοποιητικό ασφαλείας. Δεδομένου ότι το διαμέρισμα "συστήματος" είναι μόνο για ανάγνωση, το ριζικό κατάστημα του Android είναι αμετάβλητο εκτός μιας ενημέρωσης του λειτουργικού συστήματος, γεγονός που μπορεί να δημιουργήσει πρόβλημα όταν η Google θέλει να καταργήσει ή να προσθέσει ένα νέο πιστοποιητικό ρίζας.

Μερικές φορές, ένα πιστοποιητικό ρίζας είναι πρόκειται να λήξει, που ενδέχεται να οδηγήσει σε διακοπή λειτουργίας ιστότοπων και υπηρεσιών και προειδοποιήσεις από προγράμματα περιήγησης ιστού για μη ασφαλείς συνδέσεις. Σε ορισμένες περιπτώσεις, η αρχή έκδοσης πιστοποιητικών που εξέδωσε πιστοποιητικό ρίζας είναι υποψία ότι είναι κακόβουλο ή παραβιασμένο. Ή α νέο πιστοποιητικό ρίζας προκύπτουν που πρέπει να προστεθούν σε κάθε σημαντικό ριζικό κατάστημα του λειτουργικού συστήματος προτού η Αρχή Αρχής μπορεί πραγματικά να αρχίσει να υπογράφει πιστοποιητικά. Το root store του Android δεν χρειάζεται να ενημερώνεται τόσο συχνά, αλλά συμβαίνει αρκετά που ο σχετικά αργός ρυθμός ενημερώσεων του Android γίνεται πρόβλημα.

Ξεκινώντας από το Android 14, ωστόσο, το root store του Android έχει γίνει ενημέρωση μέσω του Google Play. Το Android 14 έχει τώρα δύο καταλόγους που περιέχουν το root store του λειτουργικού συστήματος: τον προαναφερθέντα, αμετάβλητο-εκτός OTA τοποθεσία /system/etc/security/cacerts και η νέα, με δυνατότητα ενημέρωσης /apex/com.[google].android.conscrypt/security/cacerts Ευρετήριο. Το τελευταίο περιέχεται στη μονάδα Conscrypt, μια λειτουργική μονάδα Project Mainline που εισήχθη στο Android 10 και παρέχει την υλοποίηση TLS του Android. Εφόσον η ενότητα Conscrypt μπορεί να ενημερωθεί μέσω των ενημερώσεων συστήματος Google Play, αυτό σημαίνει ότι θα είναι και το root store του Android.

Εκτός από τη δυνατότητα ενημέρωσης του ριζικού καταστήματος του Android, το Android 14 προσθέτει και αφαιρεί επίσης ορισμένα πιστοποιητικά ρίζας ως μέρος της ετήσιας ενημέρωσης της Google στο ριζικό κατάστημα του συστήματος.

Τα πιστοποιητικά ρίζας που έχουν προστεθεί στο Android 14 περιλαμβάνουν:

  1. AC RAIZ FNMT-RCM SERVIDORES SEGUROS
  2. ANF ​​Secure Server Root CA
  3. Autoridad de Certificacion Firmaprofesional CIF A62634068
  4. Σίγουρα το Root E1
  5. Σίγουρα Root R1
  6. Certum EC-384 CA
  7. Certum Trusted Root CA
  8. D-TRUST BR Root CA 1 2020
  9. D-TRUST EV Root CA 1 2020
  10. DigiCert TLS ECC P384 Root G5
  11. DigiCert TLS RSA4096 Root G5
  12. GLOBALTRUST 2020
  13. GlobalSign Root E46
  14. GlobalSign Root R46
  15. HARICA TLS ECC Root CA 2021
  16. HARICA TLS RSA Root CA 2021
  17. HiPKI Root CA - G1
  18. ISRG Root X2
  19. Επικοινωνία ασφαλείας ECC RootCA1
  20. Επικοινωνία ασφαλείας RootCA3
  21. Telia Root CA v2
  22. Tugra Global Root CA ECC v3
  23. Tugra Global Root CA RSA v3
  24. TunTrust Root CA
  25. vTrus ECC Root CA
  26. vTrus Root CA

Τα πιστοποιητικά ρίζας που έχουν καταργηθεί στο Android 14 περιλαμβάνουν:

  1. Chambers of Commerce Root - 2008
  2. Cybertrust Global Root
  3. DST Root CA X3
  4. EC-ACC
  5. GeoTrust Primary Αρχή Πιστοποίησης - G2
  6. Global Chambersign Root 2008
  7. GlobalSign
  8. Ελληνικά Ακαδημαϊκά και Ερευνητικά Ιδρύματα RootCA 2011
  9. Αρχή έκδοσης πιστοποιητικών λύσεων δικτύου
  10. QuoVadis Root Certification Authority
  11. Sonera Class2 CA
  12. Staat der Nederlanden EV Root CA
  13. Staat der Nederlanden Root CA - G3
  14. TrustCor ECA-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Trustis FPS Root CA
  18. VeriSign Universal Root Certification Authority

Για μια πιο εμπεριστατωμένη εξήγηση των πιστοποιητικών TLS, θα πρέπει να διαβάσετε τον συνάδελφό μου Το άρθρο του Adam Conway εδώ. Για μια πιο εμπεριστατωμένη ανάλυση του πώς λειτουργεί το ενημερωμένο root store του Android 14 και γιατί δημιουργήθηκε, ρίξτε μια ματιά το άρθρο που έγραψα προηγουμένως πανω σε αυτο το θεμα.