Androidovo korijensko spremište zahtijevalo je OTA ažuriranje za dodavanje ili uklanjanje korijenskih certifikata. To neće biti slučaj u Androidu 14.
Android ima mali problem koji podiže svoju ružnu glavu samo jednom svakog plavog mjeseca, ali kada se dogodi, izaziva paniku. Srećom, Google ima rješenje u Androidu 14 koje rješava ovaj problem u korijenu. Problem je u tome što se pohrana korijenskih certifikata sustava Android (korijenska pohrana) mogla ažurirati samo putem OTA (over-the-air) ažuriranja tijekom većeg dijela postojanja Androida. Iako su proizvođači originalne opreme i operateri postali bolji u bržem i češćem izbacivanju ažuriranja, stvari bi ipak mogle biti bolje. Zato je Google osmislio rješenje za ažuriranje korijenske trgovine Androida putem Google Playa, počevši od Android 14.
Kada ste svaki dan na mreži, vjerujete da je softver vašeg uređaja pravilno konfiguriran kako bi vas usmjerio na prave poslužitelje koji hostiraju web stranice koje želite posjetiti. Uspostava prave veze je važna kako ne biste završili na poslužitelju u vlasništvu nekoga s lošim namjerama, ali sigurno uspostavljanje te veze također je važno tako da su svi podaci koje pošaljete tom poslužitelju šifrirani u prijenosu (TLS) i nadamo se da ih nije lako uhodio. Vaš OS, web-preglednik i aplikacije uspostavit će sigurne veze s poslužiteljima na internetu (HTTPS) samo ako vjeruju sigurnosnom certifikatu poslužitelja (TLS).
Budući da na Internetu postoji tako mnogo web-mjesta, operativni sustavi, web-preglednici i aplikacije ne održavaju popis sigurnosnih certifikata svih web-mjesta kojima vjeruju. Umjesto toga, gledaju tko je potpisao sigurnosni certifikat izdan web-mjestu: Je li ga potpisao sam ili ga je potpisao drugi entitet (certifikacijsko tijelo [CA]) kojem vjeruju? Ovaj lanac provjera valjanosti može biti dubok nekoliko slojeva dok ne dođete do korijenskog CA koji je izdao sigurnost certifikat koji se koristi za potpisivanje certifikata koji je na kraju potpisao certifikat izdan stranici na kojoj se nalazite gostujući.
Broj korijenskih CA-ova puno je, puno manji od broja web-mjesta koja imaju sigurnosne certifikate koje su oni izdali, bilo izravno ili putem jednog ili više posredničkih CA-ova, čime OS-ovi i web-preglednici mogu održavati popis korijenskih CA-ova koje povjerenje. Android, na primjer, ima popis pouzdanih korijenskih certifikata koji se isporučuju na sistemskoj particiji OS-a samo za čitanje na /system/etc/security/cacerts. Ako aplikacije ne ograničiti kojim certifikatima vjerovati, praksa koja se zove prikvačivanje certifikata, tada prema zadanim postavkama koriste korijensku pohranu OS-a kada odlučuju hoće li vjerovati sigurnosnom certifikatu. Budući da je particija "sustava" samo za čitanje, Androidova korijenska pohrana nepromjenjiva je izvan ažuriranja OS-a, što može predstavljati problem kada Google želi ukloniti ili dodati novi korijenski certifikat.
Ponekad je korijenski certifikat uskoro će isteći, što potencijalno dovodi do kvara web-mjesta i usluga, a web-preglednici izbacuju upozorenja o nesigurnim vezama. U nekim slučajevima CA koji je izdao root certifikat jest za koje se sumnja da su zlonamjerni ili kompromitirani. Ili a novi korijenski certifikat pojavljuje se koji se mora dodati u korijensku pohranu svakog većeg OS-a prije nego što CA može početi potpisivati certifikate. Androidovu korijensku trgovinu ne treba ažurirati tako često, ali dovoljno se dogodi da Androidov relativno spor tempo ažuriranja postane problem.
Međutim, počevši od Androida 14, Androidova korijenska trgovina ima mogu se ažurirati putem Google Playa. Android 14 sada ima dva direktorija koji sadrže korijensko spremište OS-a: gore spomenuti, nepromjenjivi-izvan-OTA /system/etc/security/cacerts lokacija i novi /apex/com.[google].android.conscrypt/security/cacerts koji se može ažurirati imenik. Potonji je sadržan unutar Conscrypt modula, Project Mainline modula predstavljenog u Androidu 10 koji pruža Androidovu TLS implementaciju. Budući da se modul Conscrypt može ažurirati putem ažuriranja sustava Google Play, to znači da će biti i Androidova root trgovina.
Osim što omogućuje ažuriranje Androidove korijenske trgovine, Android 14 također dodaje i uklanja neke korijenske certifikate kao dio Googleovog godišnjeg ažuriranja korijenske trgovine sustava.
Korijenski certifikati koji su dodani Androidu 14 uključuju:
- AC RAIZ FNMT-RCM SERVIDORES SEGUROS
- ANF Secure Server Root CA
- Autoridad de Certificacion Firmaprofesional CIF A62634068
- Svakako Root E1
- Svakako Root R1
- Certum EC-384 CA
- Certum Trusted Root CA
- D-TRUST BR Root CA 1 2020
- D-TRUST EV Root CA 1 2020
- DigiCert TLS ECC P384 Root G5
- DigiCert TLS RSA4096 Root G5
- GLOBALTRUST 2020
- GlobalSign Root E46
- GlobalSign Root R46
- HARICA TLS ECC Root CA 2021
- HARICA TLS RSA Root CA 2021
- HiPKI korijen CA - G1
- ISRG korijen X2
- Sigurnosna komunikacija ECC RootCA1
- Sigurnosna komunikacija RootCA3
- Telia Root CA v2
- Tugra Global Root CA ECC v3
- Tugra Global Root CA RSA v3
- TunTrust Root CA
- vTrus ECC korijenski CA
- vTrus Root CA
Korijenski certifikati koji su uklonjeni u Androidu 14 uključuju:
- Gospodarske komore Root - 2008
- Cybertrust Global Root
- DST korijen CA X3
- EC-ACC
- GeoTrust Primary Certification Authority - G2
- Global Chambersign Root 2008
- GlobalSign
- Helenske akademske i istraživačke institucije RootCA 2011
- Izdavač certifikata mrežnih rješenja
- QuoVadis Root Certification Authority
- Sonera klasa 2 CA
- Staat der Nederlanden EV Root CA
- Staat der Nederlanden Root CA - G3
- TrustCor ECA-1
- TrustCor RootCert CA-1
- TrustCor RootCert CA-2
- Trustis FPS Root CA
- VeriSign Universal Root Certification Authority
Za dublje objašnjenje TLS certifikata, trebali biste pročitati moj kolega Članak Adama Conwaya ovdje. Za detaljniju analizu kako funkcionira nadogradiva root trgovina Androida 14 i zašto je nastala, pogledajte članak koji sam prethodno napisao na temu.