Androidi juurpood nõudis juursertifikaatide lisamiseks või eemaldamiseks OTA värskendust. Android 14 puhul see nii ei ole.
Androidil on väike probleem, mis tõstab oma koledat pead ainult kord iga sinise kuu tagant, kuid kui see juhtub, põhjustab see paanikat. Õnneks on Google'il Android 14-s lahendus, mis lahendab selle probleemi alguses. Probleem seisneb selles, et Androidi süsteemi juursertifikaadi salvestamist (juurpoodi) sai enamiku Androidi olemasolust värskendada ainult OTA-värskenduse kaudu. Kuigi originaalseadmete tootjad ja operaatorid on saanud värskendusi kiiremini ja sagedamini välja tõrjuda, võiksid asjad siiski paremini olla. Seetõttu on Google välja töötanud lahenduse, et muuta Androidi juurpood alates aastast Google Play kaudu värskendatavaks Android 14.
Kui kasutate iga päev võrku, usaldate, et teie seadme tarkvara on õigesti konfigureeritud, et suunata teid õigetesse serveritesse, mis hostivad veebisaite, mida soovite külastada. Õige ühenduse loomine on oluline, et te ei satuks serverisse, mis kuulub kellelegi halbade kavatsustega, vaid turvaliselt selle ühenduse loomine on samuti oluline, nii et kõik sellesse serverisse saadetavad andmed on edastamisel krüpteeritud (TLS) ja loodetavasti ei saa seda hõlpsasti teha nuhkis edasi. Teie operatsioonisüsteem, veebibrauser ja rakendused loovad turvalise ühenduse Interneti-serveritega (HTTPS) aga ainult siis, kui nad usaldavad serveri (TLS) turvasertifikaati.
Kuna Internetis on nii palju veebisaite, ei pea operatsioonisüsteemid, veebibrauserid ja rakendused iga saidi turvasertifikaatide loendit, mida nad usaldavad. Selle asemel uurivad nad, kes saidile väljastatud turbesertifikaadi allkirjastas: kas see on ise allkirjastatud või mõne muu üksuse (sertifitseerimisasutus [CA]) poolt, mida nad usaldavad? See kinnitusahel võib olla mitme kihi sügavus, kuni jõuate turbe välja andnud juur-CA-ni sertifikaat, mida kasutatakse selle sertifikaadi allkirjastamiseks, mis lõpuks allkirjastas teie saidile väljastatud sertifikaadi külastades.
Juur-CA-de arv on palju-palju väiksem kui nende veebisaitide arv, millel on nende poolt väljastatud turvasertifikaadid kas otse või ühe või mitme vahendus-CA kaudu, muutes operatsioonisüsteemidele ja veebibrauseritele võimalikuks pidada nende juur-CA sertifikaatide loendit. usaldada. Näiteks Androidil on loend usaldusväärsetest juursertifikaatidest, mis tarnitakse OS-i kirjutuskaitstud süsteemisektsioonis aadressil /system/etc/security/cacerts. Kui rakendused seda ei tee piirata, milliseid sertifikaate usaldada, mida nimetatakse sertifikaadi kinnitamiseks, kasutavad nad vaikimisi OS-i juursalvest, kui nad otsustavad, kas usaldada turvasertifikaati. Kuna "süsteemi" partitsioon on kirjutuskaitstud, on Androidi juurpood väljaspool OS-i värskendust muutumatu, mis võib tekitada probleeme, kui Google soovib eemaldada või lisada uue juursertifikaadi.
Mõnikord on juursertifikaat aegumas, mis võib põhjustada saitide ja teenuste katkemist ning veebibrauserite hoiatusi ebaturvaliste ühenduste kohta. Mõnel juhul on juursertifikaadi väljastanud CA kahtlustatakse pahatahtlikku või ohustatud. Või a uus juursertifikaat ilmub, mis tuleb end lisada iga suurema OS-i juurpoodi, enne kui CA saab hakata sertifikaate allkirjastama. Androidi juurpoodi ei pea nii sageli värskendama, kuid juhtub piisavalt, et Androidi suhteliselt aeglane värskendustempo muutub probleemiks.
Android 14-st alates on aga Androidi juurpood muutuvad Google Play kaudu värskendatavaks. Android 14-l on nüüd kaks kataloogi, mis sisaldavad OS-i juurpoodi: ülalmainitud muutumatu väljaspool OTA-d /system/etc/security/cacerts asukoht ja uus värskendatav /apex/com.[google].android.conscrypt/security/cacerts kataloog. Viimane sisaldub moodulis Conscrypt, mis on Android 10-s kasutusele võetud Project Mainline moodul, mis pakub Androidi TLS-i juurutamist. Kuna Conscrypt moodulit saab värskendada Google Play süsteemivärskenduste kaudu, tähendab see ka Androidi juurpoodi.
Lisaks Androidi juurpoe värskendatavaks muutmisele lisab ja eemaldab Android 14 ka mõned juursertifikaadid Google'i iga-aastase süsteemi juurpoe värskenduse osana.
Android 14-le lisatud juursertifikaadid hõlmavad järgmist:
- AC RAIZ FNMT-RCM SERVIDORES SEGUROS
- ANF Secure Server Root CA
- Autoridad de Certificacion Firmaprofesional CIF A62634068
- Kindlasti Root E1
- Kindlasti Root R1
- Certum EC-384 CA
- Certum Trusted Root CA
- D-TRUST BR juur CA 1 2020
- D-TRUST EV Root CA 1 2020
- DigiCert TLS ECC P384 Root G5
- DigiCert TLS RSA4096 juur G5
- GLOBALTRUST 2020
- GlobalSign Root E46
- GlobalSign Root R46
- HARICA TLS ECC juur CA 2021
- HARICA TLS RSA juur CA 2021
- HiPKI Root CA – G1
- ISRG juur X2
- Turvaside ECC RootCA1
- Turvasuhtlus RootCA3
- Telia Root CA v2
- Tugra Global Root CA ECC v3
- Tugra Global Root CA RSA v3
- TunTrust Root CA
- vTrus ECC juur CA
- vTrus Root CA
Android 14-s eemaldatud juursertifikaadid hõlmavad järgmist:
- Kaubanduskodade juur – 2008
- Cybertrust Global Root
- DST juur CA X3
- EC-ACC
- GeoTrusti esmane sertifitseerimisasutus – G2
- Global Chambersign Root 2008
- GlobalSign
- Kreeka akadeemilised ja teadusasutused RootCA 2011
- Võrgulahenduste sertifitseerimisasutus
- QuoVadise juursertifitseerimisasutus
- Sonera Class2 CA
- Staat der Nederlanden EV Root CA
- Staat der Nederlanden Root CA – G3
- TrustCor ECA-1
- TrustCor RootCert CA-1
- TrustCor RootCert CA-2
- Trustis FPS Root CA
- VeriSigni universaalne juursertifitseerimisasutus
TLS-i sertifikaatide põhjalikuma selgituse saamiseks lugege minu kolleegi Adam Conway artikkel siin. Kui soovite põhjalikumat analüüsi selle kohta, kuidas Android 14 värskendatav juurpood töötab ja miks see tekkis, vaadake artikkel, mille ma varem kirjutasin teemal.