Android 14 omogućuje ažuriranje korijenskih certifikata putem Google Playa radi zaštite korisnika od zlonamjernih CA-ova

Androidovo korijensko spremište zahtijevalo je OTA ažuriranje za dodavanje ili uklanjanje korijenskih certifikata. To neće biti slučaj u Androidu 14.

Android ima mali problem koji podiže svoju ružnu glavu samo jednom svakog plavog mjeseca, ali kada se dogodi, izaziva paniku. Srećom, Google ima rješenje u Androidu 14 koje rješava ovaj problem u korijenu. Problem je u tome što se pohrana korijenskih certifikata sustava Android (korijenska pohrana) mogla ažurirati samo putem OTA (over-the-air) ažuriranja tijekom većeg dijela postojanja Androida. Iako su proizvođači originalne opreme i operateri postali bolji u bržem i češćem izbacivanju ažuriranja, stvari bi ipak mogle biti bolje. Zato je Google osmislio rješenje za ažuriranje korijenske trgovine Androida putem Google Playa, počevši od Android 14.

Kada ste svaki dan na mreži, vjerujete da je softver vašeg uređaja pravilno konfiguriran kako bi vas usmjerio na prave poslužitelje koji hostiraju web stranice koje želite posjetiti. Uspostava prave veze je važna kako ne biste završili na poslužitelju u vlasništvu nekoga s lošim namjerama, ali sigurno uspostavljanje te veze također je važno tako da su svi podaci koje pošaljete tom poslužitelju šifrirani u prijenosu (TLS) i nadamo se da ih nije lako uhodio. Vaš OS, web-preglednik i aplikacije uspostavit će sigurne veze s poslužiteljima na internetu (HTTPS) samo ako vjeruju sigurnosnom certifikatu poslužitelja (TLS).

Budući da na Internetu postoji tako mnogo web-mjesta, operativni sustavi, web-preglednici i aplikacije ne održavaju popis sigurnosnih certifikata svih web-mjesta kojima vjeruju. Umjesto toga, gledaju tko je potpisao sigurnosni certifikat izdan web-mjestu: Je li ga potpisao sam ili ga je potpisao drugi entitet (certifikacijsko tijelo [CA]) kojem vjeruju? Ovaj lanac provjera valjanosti može biti dubok nekoliko slojeva dok ne dođete do korijenskog CA koji je izdao sigurnost certifikat koji se koristi za potpisivanje certifikata koji je na kraju potpisao certifikat izdan stranici na kojoj se nalazite gostujući.

Broj korijenskih CA-ova puno je, puno manji od broja web-mjesta koja imaju sigurnosne certifikate koje su oni izdali, bilo izravno ili putem jednog ili više posredničkih CA-ova, čime OS-ovi i web-preglednici mogu održavati popis korijenskih CA-ova koje povjerenje. Android, na primjer, ima popis pouzdanih korijenskih certifikata koji se isporučuju na sistemskoj particiji OS-a samo za čitanje na /system/etc/security/cacerts. Ako aplikacije ne ograničiti kojim certifikatima vjerovati, praksa koja se zove prikvačivanje certifikata, tada prema zadanim postavkama koriste korijensku pohranu OS-a kada odlučuju hoće li vjerovati sigurnosnom certifikatu. Budući da je particija "sustava" samo za čitanje, Androidova korijenska pohrana nepromjenjiva je izvan ažuriranja OS-a, što može predstavljati problem kada Google želi ukloniti ili dodati novi korijenski certifikat.

Ponekad je korijenski certifikat uskoro će isteći, što potencijalno dovodi do kvara web-mjesta i usluga, a web-preglednici izbacuju upozorenja o nesigurnim vezama. U nekim slučajevima CA koji je izdao root certifikat jest za koje se sumnja da su zlonamjerni ili kompromitirani. Ili a novi korijenski certifikat pojavljuje se koji se mora dodati u korijensku pohranu svakog većeg OS-a prije nego što CA može početi potpisivati ​​certifikate. Androidovu korijensku trgovinu ne treba ažurirati tako često, ali dovoljno se dogodi da Androidov relativno spor tempo ažuriranja postane problem.

Međutim, počevši od Androida 14, Androidova korijenska trgovina ima mogu se ažurirati putem Google Playa. Android 14 sada ima dva direktorija koji sadrže korijensko spremište OS-a: gore spomenuti, nepromjenjivi-izvan-OTA /system/etc/security/cacerts lokacija i novi /apex/com.[google].android.conscrypt/security/cacerts koji se može ažurirati imenik. Potonji je sadržan unutar Conscrypt modula, Project Mainline modula predstavljenog u Androidu 10 koji pruža Androidovu TLS implementaciju. Budući da se modul Conscrypt može ažurirati putem ažuriranja sustava Google Play, to znači da će biti i Androidova root trgovina.

Osim što omogućuje ažuriranje Androidove korijenske trgovine, Android 14 također dodaje i uklanja neke korijenske certifikate kao dio Googleovog godišnjeg ažuriranja korijenske trgovine sustava.

Korijenski certifikati koji su dodani Androidu 14 uključuju:

  1. AC RAIZ FNMT-RCM SERVIDORES SEGUROS
  2. ANF ​​Secure Server Root CA
  3. Autoridad de Certificacion Firmaprofesional CIF A62634068
  4. Svakako Root E1
  5. Svakako Root R1
  6. Certum EC-384 CA
  7. Certum Trusted Root CA
  8. D-TRUST BR Root CA 1 2020
  9. D-TRUST EV Root CA 1 2020
  10. DigiCert TLS ECC P384 Root G5
  11. DigiCert TLS RSA4096 Root G5
  12. GLOBALTRUST 2020
  13. GlobalSign Root E46
  14. GlobalSign Root R46
  15. HARICA TLS ECC Root CA 2021
  16. HARICA TLS RSA Root CA 2021
  17. HiPKI korijen CA - G1
  18. ISRG korijen X2
  19. Sigurnosna komunikacija ECC RootCA1
  20. Sigurnosna komunikacija RootCA3
  21. Telia Root CA v2
  22. Tugra Global Root CA ECC v3
  23. Tugra Global Root CA RSA v3
  24. TunTrust Root CA
  25. vTrus ECC korijenski CA
  26. vTrus Root CA

Korijenski certifikati koji su uklonjeni u Androidu 14 uključuju:

  1. Gospodarske komore Root - 2008
  2. Cybertrust Global Root
  3. DST korijen CA X3
  4. EC-ACC
  5. GeoTrust Primary Certification Authority - G2
  6. Global Chambersign Root 2008
  7. GlobalSign
  8. Helenske akademske i istraživačke institucije RootCA 2011
  9. Izdavač certifikata mrežnih rješenja
  10. QuoVadis Root Certification Authority
  11. Sonera klasa 2 CA
  12. Staat der Nederlanden EV Root CA
  13. Staat der Nederlanden Root CA - G3
  14. TrustCor ECA-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Trustis FPS Root CA
  18. VeriSign Universal Root Certification Authority

Za dublje objašnjenje TLS certifikata, trebali biste pročitati moj kolega Članak Adama Conwaya ovdje. Za detaljniju analizu kako funkcionira nadogradiva root trgovina Androida 14 i zašto je nastala, pogledajte članak koji sam prethodno napisao na temu.