Android 14 puede venir con certificados raíz actualizables y este artículo explica por qué es importante.
Los certificados raíz son el núcleo de la infraestructura de clave pública (PKI) y están firmados por autoridades certificadoras confiables, o CA. Los navegadores, aplicaciones y otros programas tienen un almacén raíz preempaquetado que significa que estos certificados son confiable. Si visita un sitio web que admite HTTPS pero no utiliza un certificado firmado por una CA en el almacén raíz de su navegador, el sitio web se marcará como no seguro. Normalmente, las aplicaciones y los navegadores pueden actualizar sus certificados, pero su teléfono no puede hacerlo a menos que sea mediante una actualización OTA. Eso puede cambiar con Androide 14, de acuerdo a Esper.
Ha habido un par de sustos a lo largo de los años en relación con los certificados, y eso se debe a que dependemos de ellos como núcleo de una cadena de confianza cuando visitamos sitios web. Aquí en XDA, nuestro certificado está firmado por Let's Encrypt, una CA sin fines de lucro. Su certificado está firmado por Internet Security Research Group y es esa cadena de confianza la que garantiza que su conexión a este sitio web sea segura. Lo mismo ocurre con cualquier otro sitio web que visite y que utilice HTTPS.
Cada sistema operativo tiene su propio almacén raíz integrado y Android no es diferente. De hecho, puedes ver esta tienda raíz en tu teléfono inteligente Android navegando a seguridad y privacidad en la configuración de tu dispositivo. A partir de ahí, dependerá del tipo de dispositivo que estés usando, pero las capturas de pantalla a continuación muestran dónde está en OneUI 5.
Sin embargo, la cuestión es que ni siquiera este almacén raíz es el fin y el principio de todo. Las aplicaciones pueden optar por usar y confiar en su propia tienda raíz (lo que hace Firefox) y solo pueden aceptar certificados específicos (denominados fijación de certificados) en un esfuerzo por evitar Man-in-the-Middle (MITM) ataques. Los usuarios pueden instalar sus propios certificados, pero los desarrolladores de aplicaciones deben optar por permitir que sus aplicaciones utilicen estos certificados desde Android 7.
Por qué es importante tener certificados raíz actualizables
Con los certificados Let's Encrypt firmados cruzadamente por Internet Security Research Group, un lote de Internet depende de la seguridad del ISRG. Si ISRG perdiera el control de su clave privada (en caso de que la robaran, por ejemplo), entonces ISRG tendría que revocar la clave. Dependiendo de cómo respondan las empresas, es posible que algunas partes de Internet se vuelvan inaccesibles para los dispositivos que no tienen certificados raíz actualizables. Si bien ese es un escenario de pesadilla completamente catastrófico (y puramente hipotético), es exactamente el tipo de escenario que Google quiere evitar. Es por eso que lo que está sucediendo actualmente con TrustCor podría indicarle a Google que es hora de agregar certificados raíz actualizables a Android.
A modo de contexto, TrustCor es una de esas autoridades de certificación que ha sido objeto de escrutinio después de que los investigadores alegaran que tenía estrechos vínculos con un contratista militar estadounidense. TrustCor no ha perdido su clave privada, pero tiene perdió la confianza de muchas empresas que necesitan decidir qué certificados incluyen en sus almacenes raíz. Esos investigadores alegaron que el contratista militar estadounidense TrustCor, cercano a él, había pagado a los desarrolladores para que colocaran malware de recolección de datos en aplicaciones de teléfonos inteligentes. En PKI, la confianza lo es todo, y TrustCor perdió esa confianza una vez que esas acusaciones salieron a la luz. Desde entonces, empresas como Google, Microsoft y Mozilla han abandonado TrustCor como autoridad certificadora. Sin embargo, eliminar los certificados de TrustCor del almacén raíz de Android requerirá una actualización OTA y, aunque la confirmación ya está hecho en AOSP, probablemente pasará mucho tiempo hasta que usted o yo tengamos la actualización que elimine los certificados de TrustCor de nuestra dispositivos.
La ventaja es que ahora puedes desactivar los certificados de TrustCor en tu dispositivo yendo a tus certificados en tu dispositivo, como mostramos arriba, y luego desplazándose hasta TrustCor y deshabilitando los tres certificados que vienen con su dispositivo. Según desarrolladores de la GrafenoOS proyecto, debería haber "muy poco impacto en la compatibilidad web debido a que esta CA apenas será utilizada por nadie más que un proveedor de DNS dinámico específico".
La solución: Proyecto Mainline
Si está familiarizado con Project Mainline, ya podrá ver cómo esto puede ayudar a resolver el problema. Google utiliza módulos Mainline que se entregan a través del marco de servicios de Google Play y Google Play Store. Cada módulo Mainline se entrega como un archivo APK, un archivo APEX o un APK-in-APEX. Cuando se actualiza un módulo de Mainline, el usuario ve una notificación de "Actualización del sistema de Google Play" (GPSU) en su dispositivo. Efectivamente, para entregar actualizaciones a componentes críticos, Google ha evitado la necesidad de esperar a que un OEM lance una actualización y ha optado por realizar la tarea él mismo. Bluetooth y banda ultraancha son dos módulos principales esenciales manejados por Google.
De acuerdo a a comprometerse con el AOSP Gerrit (descubierto por Esper), Conscrypt, un módulo Mainline que proporciona la implementación TLS de Android, admitirá certificados raíz actualizables en una actualización futura. Esto significaría que los certificados podrían eliminarse (o incluso agregarse) mediante una actualización del sistema de Google Play a través de Project Mainline, asegurando un proceso mucho más rápido en caso de que ocurra otra situación como TrustCor (o peor) en el futuro. No está claro cuándo se implementará, pero es probable que llegue a Android 14. Es técnicamente posible que Google quiera impulsarlo con Android 13 QPR2, pero solo beneficiaría a los usuarios de Google Pixel hasta que Android 14 llegue a todos los demás el próximo año. Esto se debe a que otros OEM normalmente no implementan actualizaciones de QPR.
La única razón para que esto exista sería que Google pueda mantener el control sobre otro aspecto crucial de la seguridad del dispositivo sin necesidad de depender de que los OEM impulsen actualizaciones. Actualmente se requiere una OTA para actualizar los certificados, pero en una situación de emergencia, todos los días en los que los usuarios no tengan una actualización podrían ser importantes. Utilizar Project Mainline para garantizar que los usuarios puedan obtener actualizaciones de certificados cruciales a tiempo si alguna vez las necesitan es sin duda un cambio bienvenido.
Fuente: Esper