Android 14 hace que los certificados raíz se puedan actualizar a través de Google Play para proteger a los usuarios de CA maliciosas

La tienda raíz de Android solía requerir una actualización OTA para agregar o quitar certificados raíz. Ese no será el caso en Android 14.

Android tiene un pequeño problema que solo asoma su fea cabeza una vez cada luna azul, pero cuando lo hace, causa algo de pánico. Afortunadamente, Google tiene una solución en Android 14 que elimina este problema de raíz. El problema es que el almacén de certificados raíz del sistema Android (almacén raíz) solo se puede actualizar a través de una actualización inalámbrica (OTA) durante la mayor parte de la existencia de Android. Si bien los OEM y los operadores han mejorado en la publicación de actualizaciones con mayor rapidez y frecuencia, las cosas aún podrían ser mejores. Es por eso que Google ha ideado una solución para hacer que la tienda raíz de Android sea actualizable a través de Google Play, a partir de androide 14.

Cuando se conecta a Internet todos los días, confía en que el software de su dispositivo está configurado correctamente para indicarle los servidores correctos que alojan los sitios web que desea visitar. Establecer la conexión correcta es importante para no terminar en un servidor propiedad de alguien con malas intenciones, sino de forma segura. establecer esa conexión también es importante, por lo que todos los datos que envíe a ese servidor se cifran en tránsito (TLS) y, con suerte, no pueden ser fácilmente fisgoneado. Sin embargo, su sistema operativo, navegador web y aplicaciones solo establecerán conexiones seguras con servidores en Internet (HTTPS) si confían en el certificado de seguridad del servidor (TLS).

Sin embargo, dado que hay tantos sitios web en Internet, los sistemas operativos, los navegadores web y las aplicaciones no mantienen una lista del certificado de seguridad de cada sitio en el que confían. En su lugar, buscan quién firmó el certificado de seguridad emitido para el sitio: ¿Fue autofirmado o firmado por otra entidad (una autoridad certificadora [CA]) en la que confían? Esta cadena de validaciones puede tener varias capas de profundidad hasta llegar a una CA raíz que emitió la seguridad. certificado utilizado para firmar el certificado que finalmente firmó el certificado emitido al sitio que está visitando.

La cantidad de CA raíz es mucho, mucho menor que la cantidad de sitios web que tienen certificados de seguridad emitidos por ellos, ya sea directamente o a través de una o más CA intermedias, lo que hace posible que los sistemas operativos y los navegadores web mantengan una lista de certificados de CA raíz que confianza. Android, por ejemplo, tiene una lista de certificados raíz confiables que se envían en la partición del sistema de solo lectura del sistema operativo en /system/etc/security/cacerts. Si las aplicaciones no limitar en qué certificados confiar, una práctica llamada fijación de certificados, luego utilizan de forma predeterminada el almacén raíz del sistema operativo cuando deciden si confiar en un certificado de seguridad. Dado que la partición del "sistema" es de solo lectura, la tienda raíz de Android es inmutable fuera de una actualización del sistema operativo, lo que puede plantear un problema cuando Google quiere eliminar o agregar un nuevo certificado raíz.

A veces, un certificado raíz es a punto de caducar, lo que puede llevar a que los sitios y servicios se rompan y los navegadores web arrojen advertencias sobre conexiones inseguras. En algunos casos, la CA que emitió un certificado raíz es sospechoso de ser malicioso o comprometido. o un nuevo certificado raíz surge que debe agregarse a la tienda principal de todos los sistemas operativos antes de que la CA pueda comenzar a firmar certificados. La tienda raíz de Android no necesita actualizarse con tanta frecuencia, pero sucede lo suficiente como para que el ritmo relativamente lento de las actualizaciones de Android se convierta en un problema.

Sin embargo, a partir de Android 14, la tienda raíz de Android tiene volverse actualizable a través de Google Play. Android 14 ahora tiene dos directorios que contienen la tienda raíz del sistema operativo: el ya mencionado, inmutable fuera de OTA /system/etc/security/cacerts ubicación y el nuevo /apex/com.[google].android.conscrypt/security/cacerts actualizable directorio. Este último está contenido dentro del módulo Conscrypt, un módulo de Project Mainline introducido en Android 10 que proporciona la implementación de TLS de Android. Dado que el módulo Conscrypt se puede actualizar a través de Google Play System Updates, eso significa que la tienda raíz de Android también lo será.

Además de hacer que la tienda raíz de Android sea actualizable, Android 14 también agrega y elimina algunos certificados raíz como parte de la actualización anual de Google de la tienda raíz del sistema.

Los certificados raíz que se agregaron a Android 14 incluyen:

  1. AC RAIZ FNMT-RCM SERVIDORES SEGUROS
  2. ANF ​​Servidor seguro CA raíz
  3. Autoridad de Certificación Firmaprofesional CIF A62634068
  4. Ciertamente raíz E1
  5. Ciertamente raíz R1
  6. Certum EC-384 CA
  7. CA raíz de confianza de Certum
  8. D-TRUST BR Raíz CA 1 2020
  9. D-TRUST EV Raíz CA 1 2020
  10. DigiCert TLS ECC P384 Raíz G5
  11. DigiCert TLS RSA4096 Raíz G5
  12. CONFIANZA GLOBAL 2020
  13. Raíz de GlobalSign E46
  14. Raíz R46 de GlobalSign
  15. HARICA TLS ECC Raíz CA 2021
  16. HARICA TLS RSA Raíz CA 2021
  17. CA raíz HiPKI - G1
  18. Raíz ISRG X2
  19. Comunicación de seguridad ECC RootCA1
  20. Comunicación de seguridad RootCA3
  21. Telia raíz CA v2
  22. Tugra raíz global CA ECC v3
  23. Tugra raíz global CA RSA v3
  24. CA raíz de TunTrust
  25. CA raíz vTrus ECC
  26. CA raíz vTrus

Los certificados raíz que se eliminaron en Android 14 incluyen:

  1. Cámaras de Comercio Raíz - 2008
  2. Raíz global de Cybertrust
  3. DST Raíz CA X3
  4. CE-ACC
  5. Autoridad de certificación primaria de GeoTrust - G2
  6. Global Chambersign Raíz 2008
  7. GlobalSign
  8. Instituciones académicas y de investigación helénicas RootCA 2011
  9. Autoridad de certificación de soluciones de red
  10. Autoridad de certificación raíz de QuoVadis
  11. Sonera Class2 CA
  12. Staat der Nederlanden EV Raíz CA
  13. Staat der Nederlanden Raíz CA - G3
  14. TrustCor ECA-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Trustis FPS CA raíz
  18. Autoridad de certificación raíz universal de VeriSign

Para obtener una explicación más detallada de los certificados TLS, debe leer a mi colega El artículo de Adam Conway aquí. Para obtener un análisis más completo de cómo funciona la tienda raíz actualizable de Android 14 y por qué surgió, consulte el artículo que escribí anteriormente sobre el tema.