Az Android 14 frissíthetővé teszi a gyökértanúsítványokat a Google Playen keresztül, hogy megvédje a felhasználókat a rosszindulatú CA-któl

Az Android gyökérboltja korábban OTA-frissítést igényelt a gyökértanúsítványok hozzáadásához vagy eltávolításához. Ez nem így lesz az Android 14-ben.

Az Androidnak van egy kis problémája, amely minden kék holdon csak egyszer emeli fel csúnya fejét, de ha ez megtörténik, akkor némi pánikot okoz. Szerencsére a Google-nak van olyan megoldása az Android 14-ben, amely már az elején megoldja ezt a problémát. A probléma az, hogy az Android rendszer gyökértanúsítvány-tárolója (root store) az Android létezésének nagy részében csak egy OTA-frissítéssel frissíthető. Noha az OEM-ek és a szolgáltatók egyre jobbak a frissítések gyorsabb és gyakoribb kiküldésében, a dolgok még mindig jobbak lehetnek. Ezért a Google kidolgozott egy olyan megoldást, amellyel az Android gyökérboltja frissíthetővé válik a Google Playen keresztül, kezdve Android 14.

Amikor minden nap internetezik, bízik abban, hogy az eszköz szoftvere megfelelően van konfigurálva, hogy a megfelelő kiszolgálókra irányítsa a felkeresni kívánt webhelyeket. A megfelelő kapcsolat létrehozása fontos, hogy ne kerüljön egy rossz szándékú személy tulajdonában lévő szerverre, hanem biztonságosan ennek a kapcsolatnak a létrehozása is fontos, így az arra a szerverre küldött adatok titkosítva vannak a továbbítás során (TLS), és remélhetőleg nem lesz könnyű. leskelődött. Az operációs rendszer, a webböngésző és az alkalmazások azonban csak akkor létesítenek biztonságos kapcsolatot az internetes szerverekkel (HTTPS), ha megbíznak a szerver (TLS) biztonsági tanúsítványában.

Mivel azonban nagyon sok webhely van az interneten, az operációs rendszerek, a webböngészők és az alkalmazások nem vezetnek listát minden webhely biztonsági tanúsítványáról, amelyben megbíznak. Ehelyett azt nézik, hogy ki írta alá a webhelyhez kiadott biztonsági tanúsítványt: Ön írta alá, vagy egy másik entitás (tanúsítványszolgáltató [CA]) írta alá, amelyben megbíznak? Ez az érvényesítési lánc több réteg mélységű lehet, amíg el nem éri a biztonságot kiadó gyökér CA-t a tanúsítvány aláírására használt tanúsítvány, amely végül aláírta az Ön webhelyének kiállított tanúsítványt látogató.

A gyökér CA-k száma sokkal-sokkal kisebb, mint az általuk kiállított biztonsági tanúsítványokkal rendelkező webhelyek száma, akár közvetlenül, akár egy vagy több közvetítő hitelesítésszolgáltatón keresztül, ezáltal lehetővé téve az operációs rendszerek és a webböngészők számára, hogy listát tartsanak az általuk használt gyökér CA-tanúsítványokról. bizalom. Az Android például rendelkezik a megbízható gyökértanúsítványok listájával, amelyek az operációs rendszer csak olvasható rendszerpartíciójában találhatók a /system/etc/security/cacerts címen. Ha az alkalmazások nem korlátozza, hogy mely tanúsítványokban bízhat meg, a tanúsítvány rögzítésének nevezett gyakorlat, akkor alapértelmezés szerint az operációs rendszer gyökértárolóját használják, amikor eldöntik, hogy megbíznak-e egy biztonsági tanúsítványban. Mivel a „rendszer” partíció csak olvasható, az Android gyökértára az operációs rendszer frissítésén kívül megváltoztathatatlan, ami problémát jelenthet, ha a Google el akar távolítani vagy új gyökértanúsítványt szeretne hozzáadni.

Néha a gyökértanúsítvány az hamarosan lejár, ami potenciálisan a webhelyek és szolgáltatások meghibásodásához vezethet, és a webböngészők figyelmeztetéseket adhatnak ki a nem biztonságos kapcsolatokról. Egyes esetekben a gyökértanúsítványt kiadó CA gyaníthatóan rosszindulatú vagy feltört. Vagy a új gyökértanúsítvány felbukkan, amelyet minden nagyobb operációs rendszer gyökértárába fel kell venni, mielőtt a CA ténylegesen megkezdhetné a tanúsítványok aláírását. Az Android gyökérboltját nem kell olyan gyakran frissíteni, de elég gyakran előfordul, hogy az Android viszonylag lassú frissítési üteme problémát okoz.

Az Android 14-től kezdődően azonban az Android gyökérboltja rendelkezik frissíthető a Google Playen keresztül. Az Android 14 most már két könyvtárral rendelkezik, amelyek az operációs rendszer gyökértárát tartalmazzák: a fent említett, megváltoztathatatlan OTA-on kívül /system/etc/security/cacerts hely és az új, frissíthető /apex/com.[google].android.conscrypt/security/cacerts Könyvtár. Ez utóbbi a Conscrypt modulban, az Android 10-ben bevezetett Project Mainline modulban található, amely az Android TLS megvalósítását biztosítja. Mivel a Conscrypt modul frissíthető a Google Play rendszerfrissítéseken keresztül, ez azt jelenti, hogy az Android gyökérboltja is az lesz.

Amellett, hogy frissíthetővé teszi az Android gyökértárát, az Android 14 néhány gyökértanúsítványt is hozzáad és eltávolít a rendszer gyökértárának Google éves frissítésének részeként.

Az Android 14 rendszerhez hozzáadott gyökértanúsítványok a következők:

  1. AC RAIZ FNMT-RCM SERVIDORES SEGUROS
  2. ANF ​​Secure Server Root CA
  3. Certificacion Firmaprofesional CIF A62634068
  4. Természetesen Root E1
  5. Természetesen Root R1
  6. Certum EC-384 CA
  7. Certum Trusted Root CA
  8. D-TRUST BR Root CA 1 2020
  9. D-TRUST EV Root CA 1 2020
  10. DigiCert TLS ECC P384 Root G5
  11. DigiCert TLS RSA4096 Root G5
  12. GLOBALTRUST 2020
  13. GlobalSign Root E46
  14. GlobalSign Root R46
  15. HARICA TLS ECC Root CA 2021
  16. HARICA TLS RSA Root CA 2021
  17. HiPKI Root CA - G1
  18. ISRG Root X2
  19. Biztonsági kommunikáció ECC RootCA1
  20. Biztonsági kommunikáció RootCA3
  21. Telia Root CA v2
  22. Tugra Global Root CA ECC v3
  23. Tugra Global Root CA RSA v3
  24. TunTrust Root CA
  25. vTrus ECC Root CA
  26. vTrus Root CA

Az Android 14 rendszerben eltávolított gyökértanúsítványok a következők:

  1. Kereskedelmi Kamara gyökerei – 2008
  2. Cybertrust Global Root
  3. DST Root CA X3
  4. EC-ACC
  5. GeoTrust elsődleges tanúsító hatóság - G2
  6. Global Chambersign Root 2008
  7. GlobalSign
  8. Görög Akadémiai és Kutatóintézetek RootCA 2011
  9. Network Solutions Certificate Authority
  10. QuoVadis Root tanúsító hatóság
  11. Sonera Class2 CA
  12. Staat der Nederlanden EV Root CA
  13. Staat der Nederlanden Root CA - G3
  14. TrustCor ECA-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Trustis FPS Root CA
  18. VeriSign Universal Root Certification Authority

A TLS-tanúsítványok részletesebb magyarázatához kérjük, olvassa el kollégámat Adam Conway cikke itt. Az Android 14 frissíthető gyökértárának alaposabb elemzéséhez, és miért jött létre, nézze meg a cikk, amit korábban írtam a témában.