Android 14 tekee juurivarmenteista päivitettävissä Google Playn kautta suojaamaan käyttäjiä haitallisilta CA: ilta

Androidilla on pieni ongelma, joka nostaa rumaa päätään vain kerran jokaisessa sinisessä kuussa, mutta kun se tapahtuu, se aiheuttaa paniikkia. Onneksi Googlella on Android 14:ssä ratkaisu, joka ratkaisee tämän ongelman heti alkuunsa. Ongelmana on, että Android-järjestelmän juurivarmennevarasto (root store) voitiin päivittää vain OTA-päivityksen kautta suurimman osan Androidin olemassaolosta. Vaikka OEM-valmistajat ja operaattorit ovat pystyneet toimittamaan päivityksiä nopeammin ja useammin, asiat voisivat silti olla paremmin. Siksi Google on kehittänyt ratkaisun, jolla Androidin juurikauppa voidaan päivittää Google Playn kautta alkaen Android 14.

Kun käytät verkkoa joka päivä, luotat siihen, että laitteesi ohjelmisto on määritetty oikein ohjaamaan sinut oikeille palvelimille, jotka isännöivät vierailevia verkkosivustoja. Oikean yhteyden luominen on tärkeää, jotta et päädy palvelimelle, jonka omistaa joku huonolla tarkoituksella, vaan turvallisesti yhteyden muodostaminen on myös tärkeää, joten kaikki kyseiselle palvelimelle lähettämäsi tiedot salataan siirron aikana (TLS) eivätkä toivottavasti ole helposti saatavilla nuuskittiin. Käyttöjärjestelmäsi, verkkoselaimesi ja sovelluksesi muodostavat suojatun yhteyden Internet-palvelimiin (HTTPS), jos ne luottavat palvelimen (TLS) suojausvarmenteeseen.

Koska Internetissä on niin monia verkkosivustoja, käyttöjärjestelmät, verkkoselaimet ja sovellukset eivät kuitenkaan ylläpidä luetteloa jokaisen sivuston turvasertifikaateista, joihin he luottavat. Sen sijaan he tarkastelevat, kuka allekirjoitti sivustolle myönnetyn suojausvarmenteen: Oliko se itse allekirjoitettu vai toisen tahon (varmenteen myöntäjä [CA]), johon he luottavat? Tämä vahvistusketju voi olla useita kerroksia syvä, kunnes saavutat suojauksen myöntäneen juurivarmentajan varmenne, jota käytetään sen varmenteen allekirjoittamiseen, joka lopulta allekirjoitti sivustollesi myönnetyn varmenteen vierailemassa.

Juurivarmentajien määrä on paljon, paljon pienempi kuin niiden verkkosivustojen määrä, joilla on niiden myöntämät suojausvarmenteet joko suoraan tai yhden tai useamman välittäjän CA: n kautta, jolloin käyttöjärjestelmät ja verkkoselaimet voivat ylläpitää luetteloa juuri CA: n varmenteista luottamus. Esimerkiksi Androidilla on luettelo luotetuista juurivarmenteista, jotka toimitetaan käyttöjärjestelmän vain luku -järjestelmäosiossa osoitteessa /system/etc/security/cacerts. Jos sovellukset eivät rajoittaa luotettavia varmenteita, jota kutsutaan sertifikaatin kiinnittämiseksi, he käyttävät oletuksena käyttöjärjestelmän juurisäilöä päättäessään, luotetaanko suojausvarmenteeseen. Koska "järjestelmä"-osio on vain luku -tilassa, Androidin juurisäilö on muuttumaton käyttöjärjestelmäpäivityksen ulkopuolella, mikä voi aiheuttaa ongelmia, kun Google haluaa poistaa tai lisätä uuden juurivarmenteen.

Joskus juurisertifikaatti on vanhentumassa, mikä saattaa johtaa sivustojen ja palvelujen hajoamiseen ja verkkoselaimien varoittamiseen turvattomista yhteyksistä. Joissakin tapauksissa juurivarmenteen myöntänyt CA on epäillään olevan haitallinen tai vaarantunut. Tai a uusi juurivarmenne ilmaantuu, joka on lisättävä jokaisen suuren käyttöjärjestelmän juurisäilöön, ennen kuin varmentaja voi todella alkaa allekirjoittaa varmenteita. Androidin juurikauppaa ei tarvitse päivittää kovin usein, mutta tapahtuu tarpeeksi, että Androidin suhteellisen hidas päivitystahti tulee ongelmaksi.

Android 14:stä alkaen Androidin pääkaupassa on kuitenkin päivitettävissä Google Playn kautta. Android 14:ssä on nyt kaksi hakemistoa, jotka sisältävät käyttöjärjestelmän juurisäilön: edellä mainittu, muuttumaton OTA: n ulkopuolella /system/etc/security/cacerts sijainti ja uusi päivitettävä /apex/com.[google].android.conscrypt/security/cacerts hakemistosta. Jälkimmäinen sisältyy Conscrypt-moduuliin, joka on Android 10:ssä esitelty Project Mainline -moduuli, joka tarjoaa Androidin TLS-toteutuksen. Koska Conscrypt-moduuli on päivitettävissä Google Play -järjestelmäpäivitysten kautta, se tarkoittaa, että myös Androidin pääkauppa tulee olemaan.

Sen lisäksi, että Android 14 tekee Androidin juurisäilöstä päivitettävissä, se myös lisää ja poistaa joitakin juurivarmenteita osana Googlen vuosittaista päivitystä järjestelmän juurisäilöön.

Android 14:ään lisätyt juurivarmenteet sisältävät:

1. AC RAIZ FNMT-RCM PALVELUT SEGUROS
2. ANF ​​Secure Server Root CA
3. Autoridad de Certificacion Firmaprofesional CIF A62634068
4. Varmasti Root E1
5. Varmasti Root R1
6. Certum EC-384 CA
7. Certum Trusted Root CA
8. D-TRUST BR Root CA 1 2020
9. D-TRUST EV Root CA 1 2020
10. DigiCert TLS ECC P384 Root G5
11. DigiCert TLS RSA4096 Root G5
12. GLOBALTRUST 2020
13. GlobalSign Root E46
14. GlobalSign Root R46
15. HARICA TLS ECC Root CA 2021
16. HARICA TLS RSA Root CA 2021
17. HiPKI Root CA - G1
18. ISRG Root X2
19. Tietoturvatietoliikenne ECC RootCA1
20. Tietoturvaviestintä RootCA3
21. Telia Root CA v2
22. Tugra Global Root CA ECC v3
23. Tugra Global Root CA RSA v3
24. TunTrust Root CA
25. vTrus ECC Root CA
26. vTrus Root CA

Android 14:ssä poistettuja juurivarmenteita ovat:

1. Kauppakamarien juuret – 2008
2. Cybertrust Global Root
3. DST Root CA X3
4. EC-ACC
5. GeoTrust Primary Certification Authority - G2
6. Global Chambersign Root 2008
7. GlobalSign
8. Kreikan akateemiset ja tutkimuslaitokset RootCA 2011
9. Network Solutions Certificate Authority
10. QuoVadis Root Certification Authority
11. Sonera Class2 CA
12. Staat der Nederlanden EV Root CA
13. Staat der Nederlanden Root CA - G3
14. TrustCor ECA-1
15. TrustCor RootCert CA-1
16. TrustCor RootCert CA-2
17. Trustis FPS Root CA
18. VeriSign Universal Root Certification Authority

Jos haluat tarkempia tietoja TLS-varmenteista, lue kollegani Adam Conwayn artikkeli täällä. Tutustu tarkemmin Android 14:n päivitettävän juurimyymälän toimintaan ja miksi se syntyi. aiemmin kirjoittamani artikkeli aiheesta.