Android 14 muudab juursertifikaadid Google Play kaudu värskendatavaks, et kaitsta kasutajaid pahatahtlike CA-de eest

MobiilneJul 20, 2023
click fraud protection

Androidi juurpood nõudis juursertifikaatide lisamiseks või eemaldamiseks OTA värskendust. Android 14 puhul see nii ei ole.

Androidil on väike probleem, mis tõstab oma koledat pead ainult kord iga sinise kuu tagant, kuid kui see juhtub, põhjustab see paanikat. Õnneks on Google'il Android 14-s lahendus, mis lahendab selle probleemi alguses. Probleem seisneb selles, et Androidi süsteemi juursertifikaadi salvestamist (juurpoodi) sai enamiku Androidi olemasolust värskendada ainult OTA-värskenduse kaudu. Kuigi originaalseadmete tootjad ja operaatorid on saanud värskendusi kiiremini ja sagedamini välja tõrjuda, võiksid asjad siiski paremini olla. Seetõttu on Google välja töötanud lahenduse, et muuta Androidi juurpood alates aastast Google Play kaudu värskendatavaks Android 14.

Kui kasutate iga päev võrku, usaldate, et teie seadme tarkvara on õigesti konfigureeritud, et suunata teid õigetesse serveritesse, mis hostivad veebisaite, mida soovite külastada. Õige ühenduse loomine on oluline, et te ei satuks serverisse, mis kuulub kellelegi halbade kavatsustega, vaid turvaliselt selle ühenduse loomine on samuti oluline, nii et kõik sellesse serverisse saadetavad andmed on edastamisel krüpteeritud (TLS) ja loodetavasti ei saa seda hõlpsasti teha nuhkis edasi. Teie operatsioonisüsteem, veebibrauser ja rakendused loovad turvalise ühenduse Interneti-serveritega (HTTPS) aga ainult siis, kui nad usaldavad serveri (TLS) turvasertifikaati.

Kuna Internetis on nii palju veebisaite, ei pea operatsioonisüsteemid, veebibrauserid ja rakendused iga saidi turvasertifikaatide loendit, mida nad usaldavad. Selle asemel uurivad nad, kes saidile väljastatud turbesertifikaadi allkirjastas: kas see on ise allkirjastatud või mõne muu üksuse (sertifitseerimisasutus [CA]) poolt, mida nad usaldavad? See kinnitusahel võib olla mitme kihi sügavus, kuni jõuate turbe välja andnud juur-CA-ni sertifikaat, mida kasutatakse selle sertifikaadi allkirjastamiseks, mis lõpuks allkirjastas teie saidile väljastatud sertifikaadi külastades.

Juur-CA-de arv on palju-palju väiksem kui nende veebisaitide arv, millel on nende poolt väljastatud turvasertifikaadid kas otse või ühe või mitme vahendus-CA kaudu, muutes operatsioonisüsteemidele ja veebibrauseritele võimalikuks pidada nende juur-CA sertifikaatide loendit. usaldada. Näiteks Androidil on loend usaldusväärsetest juursertifikaatidest, mis tarnitakse OS-i kirjutuskaitstud süsteemisektsioonis aadressil /system/etc/security/cacerts. Kui rakendused seda ei tee piirata, milliseid sertifikaate usaldada, mida nimetatakse sertifikaadi kinnitamiseks, kasutavad nad vaikimisi OS-i juursalvest, kui nad otsustavad, kas usaldada turvasertifikaati. Kuna "süsteemi" partitsioon on kirjutuskaitstud, on Androidi juurpood väljaspool OS-i värskendust muutumatu, mis võib tekitada probleeme, kui Google soovib eemaldada või lisada uue juursertifikaadi.

Mõnikord on juursertifikaat aegumas, mis võib põhjustada saitide ja teenuste katkemist ning veebibrauserite hoiatusi ebaturvaliste ühenduste kohta. Mõnel juhul on juursertifikaadi väljastanud CA kahtlustatakse pahatahtlikku või ohustatud. Või a uus juursertifikaat ilmub, mis tuleb end lisada iga suurema OS-i juurpoodi, enne kui CA saab hakata sertifikaate allkirjastama. Androidi juurpoodi ei pea nii sageli värskendama, kuid juhtub piisavalt, et Androidi suhteliselt aeglane värskendustempo muutub probleemiks.

Android 14-st alates on aga Androidi juurpood muutuvad Google Play kaudu värskendatavaks. Android 14-l on nüüd kaks kataloogi, mis sisaldavad OS-i juurpoodi: ülalmainitud muutumatu väljaspool OTA-d /system/etc/security/cacerts asukoht ja uus värskendatav /apex/com.[google].android.conscrypt/security/cacerts kataloog. Viimane sisaldub moodulis Conscrypt, mis on Android 10-s kasutusele võetud Project Mainline moodul, mis pakub Androidi TLS-i juurutamist. Kuna Conscrypt moodulit saab värskendada Google Play süsteemivärskenduste kaudu, tähendab see ka Androidi juurpoodi.

Lisaks Androidi juurpoe värskendatavaks muutmisele lisab ja eemaldab Android 14 ka mõned juursertifikaadid Google'i iga-aastase süsteemi juurpoe värskenduse osana.

Android 14-le lisatud juursertifikaadid hõlmavad järgmist:

  1. AC RAIZ FNMT-RCM SERVIDORES SEGUROS
  2. ANF ​​Secure Server Root CA
  3. Autoridad de Certificacion Firmaprofesional CIF A62634068
  4. Kindlasti Root E1
  5. Kindlasti Root R1
  6. Certum EC-384 CA
  7. Certum Trusted Root CA
  8. D-TRUST BR juur CA 1 2020
  9. D-TRUST EV Root CA 1 2020
  10. DigiCert TLS ECC P384 Root G5
  11. DigiCert TLS RSA4096 juur G5
  12. GLOBALTRUST 2020
  13. GlobalSign Root E46
  14. GlobalSign Root R46
  15. HARICA TLS ECC juur CA 2021
  16. HARICA TLS RSA juur CA 2021
  17. HiPKI Root CA – G1
  18. ISRG juur X2
  19. Turvaside ECC RootCA1
  20. Turvasuhtlus RootCA3
  21. Telia Root CA v2
  22. Tugra Global Root CA ECC v3
  23. Tugra Global Root CA RSA v3
  24. TunTrust Root CA
  25. vTrus ECC juur CA
  26. vTrus Root CA

Android 14-s eemaldatud juursertifikaadid hõlmavad järgmist:

  1. Kaubanduskodade juur – 2008
  2. Cybertrust Global Root
  3. DST juur CA X3
  4. EC-ACC
  5. GeoTrusti esmane sertifitseerimisasutus – G2
  6. Global Chambersign Root 2008
  7. GlobalSign
  8. Kreeka akadeemilised ja teadusasutused RootCA 2011
  9. Võrgulahenduste sertifitseerimisasutus
  10. QuoVadise juursertifitseerimisasutus
  11. Sonera Class2 CA
  12. Staat der Nederlanden EV Root CA
  13. Staat der Nederlanden Root CA – G3
  14. TrustCor ECA-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Trustis FPS Root CA
  18. VeriSigni universaalne juursertifitseerimisasutus

TLS-i sertifikaatide põhjalikuma selgituse saamiseks lugege minu kolleegi Adam Conway artikkel siin. Kui soovite põhjalikumat analüüsi selle kohta, kuidas Android 14 värskendatav juurpood töötab ja miks see tekkis, vaadake artikkel, mille ma varem kirjutasin teemal.