Az Android gyökérboltja korábban OTA-frissítést igényelt a gyökértanúsítványok hozzáadásához vagy eltávolításához. Ez nem így lesz az Android 14-ben.
Az Androidnak van egy kis problémája, amely minden kék holdon csak egyszer emeli fel csúnya fejét, de ha ez megtörténik, akkor némi pánikot okoz. Szerencsére a Google-nak van olyan megoldása az Android 14-ben, amely már az elején megoldja ezt a problémát. A probléma az, hogy az Android rendszer gyökértanúsítvány-tárolója (root store) az Android létezésének nagy részében csak egy OTA-frissítéssel frissíthető. Noha az OEM-ek és a szolgáltatók egyre jobbak a frissítések gyorsabb és gyakoribb kiküldésében, a dolgok még mindig jobbak lehetnek. Ezért a Google kidolgozott egy olyan megoldást, amellyel az Android gyökérboltja frissíthetővé válik a Google Playen keresztül, kezdve Android 14.
Amikor minden nap internetezik, bízik abban, hogy az eszköz szoftvere megfelelően van konfigurálva, hogy a megfelelő kiszolgálókra irányítsa a felkeresni kívánt webhelyeket. A megfelelő kapcsolat létrehozása fontos, hogy ne kerüljön egy rossz szándékú személy tulajdonában lévő szerverre, hanem biztonságosan ennek a kapcsolatnak a létrehozása is fontos, így az arra a szerverre küldött adatok titkosítva vannak a továbbítás során (TLS), és remélhetőleg nem lesz könnyű. leskelődött. Az operációs rendszer, a webböngésző és az alkalmazások azonban csak akkor létesítenek biztonságos kapcsolatot az internetes szerverekkel (HTTPS), ha megbíznak a szerver (TLS) biztonsági tanúsítványában.
Mivel azonban nagyon sok webhely van az interneten, az operációs rendszerek, a webböngészők és az alkalmazások nem vezetnek listát minden webhely biztonsági tanúsítványáról, amelyben megbíznak. Ehelyett azt nézik, hogy ki írta alá a webhelyhez kiadott biztonsági tanúsítványt: Ön írta alá, vagy egy másik entitás (tanúsítványszolgáltató [CA]) írta alá, amelyben megbíznak? Ez az érvényesítési lánc több réteg mélységű lehet, amíg el nem éri a biztonságot kiadó gyökér CA-t a tanúsítvány aláírására használt tanúsítvány, amely végül aláírta az Ön webhelyének kiállított tanúsítványt látogató.
A gyökér CA-k száma sokkal-sokkal kisebb, mint az általuk kiállított biztonsági tanúsítványokkal rendelkező webhelyek száma, akár közvetlenül, akár egy vagy több közvetítő hitelesítésszolgáltatón keresztül, ezáltal lehetővé téve az operációs rendszerek és a webböngészők számára, hogy listát tartsanak az általuk használt gyökér CA-tanúsítványokról. bizalom. Az Android például rendelkezik a megbízható gyökértanúsítványok listájával, amelyek az operációs rendszer csak olvasható rendszerpartíciójában találhatók a /system/etc/security/cacerts címen. Ha az alkalmazások nem korlátozza, hogy mely tanúsítványokban bízhat meg, a tanúsítvány rögzítésének nevezett gyakorlat, akkor alapértelmezés szerint az operációs rendszer gyökértárolóját használják, amikor eldöntik, hogy megbíznak-e egy biztonsági tanúsítványban. Mivel a „rendszer” partíció csak olvasható, az Android gyökértára az operációs rendszer frissítésén kívül megváltoztathatatlan, ami problémát jelenthet, ha a Google el akar távolítani vagy új gyökértanúsítványt szeretne hozzáadni.
Néha a gyökértanúsítvány az hamarosan lejár, ami potenciálisan a webhelyek és szolgáltatások meghibásodásához vezethet, és a webböngészők figyelmeztetéseket adhatnak ki a nem biztonságos kapcsolatokról. Egyes esetekben a gyökértanúsítványt kiadó CA gyaníthatóan rosszindulatú vagy feltört. Vagy a új gyökértanúsítvány felbukkan, amelyet minden nagyobb operációs rendszer gyökértárába fel kell venni, mielőtt a CA ténylegesen megkezdhetné a tanúsítványok aláírását. Az Android gyökérboltját nem kell olyan gyakran frissíteni, de elég gyakran előfordul, hogy az Android viszonylag lassú frissítési üteme problémát okoz.
Az Android 14-től kezdődően azonban az Android gyökérboltja rendelkezik frissíthető a Google Playen keresztül. Az Android 14 most már két könyvtárral rendelkezik, amelyek az operációs rendszer gyökértárát tartalmazzák: a fent említett, megváltoztathatatlan OTA-on kívül /system/etc/security/cacerts hely és az új, frissíthető /apex/com.[google].android.conscrypt/security/cacerts Könyvtár. Ez utóbbi a Conscrypt modulban, az Android 10-ben bevezetett Project Mainline modulban található, amely az Android TLS megvalósítását biztosítja. Mivel a Conscrypt modul frissíthető a Google Play rendszerfrissítéseken keresztül, ez azt jelenti, hogy az Android gyökérboltja is az lesz.
Amellett, hogy frissíthetővé teszi az Android gyökértárát, az Android 14 néhány gyökértanúsítványt is hozzáad és eltávolít a rendszer gyökértárának Google éves frissítésének részeként.
Az Android 14 rendszerhez hozzáadott gyökértanúsítványok a következők:
- AC RAIZ FNMT-RCM SERVIDORES SEGUROS
- ANF Secure Server Root CA
- Certificacion Firmaprofesional CIF A62634068
- Természetesen Root E1
- Természetesen Root R1
- Certum EC-384 CA
- Certum Trusted Root CA
- D-TRUST BR Root CA 1 2020
- D-TRUST EV Root CA 1 2020
- DigiCert TLS ECC P384 Root G5
- DigiCert TLS RSA4096 Root G5
- GLOBALTRUST 2020
- GlobalSign Root E46
- GlobalSign Root R46
- HARICA TLS ECC Root CA 2021
- HARICA TLS RSA Root CA 2021
- HiPKI Root CA - G1
- ISRG Root X2
- Biztonsági kommunikáció ECC RootCA1
- Biztonsági kommunikáció RootCA3
- Telia Root CA v2
- Tugra Global Root CA ECC v3
- Tugra Global Root CA RSA v3
- TunTrust Root CA
- vTrus ECC Root CA
- vTrus Root CA
Az Android 14 rendszerben eltávolított gyökértanúsítványok a következők:
- Kereskedelmi Kamara gyökerei – 2008
- Cybertrust Global Root
- DST Root CA X3
- EC-ACC
- GeoTrust elsődleges tanúsító hatóság - G2
- Global Chambersign Root 2008
- GlobalSign
- Görög Akadémiai és Kutatóintézetek RootCA 2011
- Network Solutions Certificate Authority
- QuoVadis Root tanúsító hatóság
- Sonera Class2 CA
- Staat der Nederlanden EV Root CA
- Staat der Nederlanden Root CA - G3
- TrustCor ECA-1
- TrustCor RootCert CA-1
- TrustCor RootCert CA-2
- Trustis FPS Root CA
- VeriSign Universal Root Certification Authority
A TLS-tanúsítványok részletesebb magyarázatához kérjük, olvassa el kollégámat Adam Conway cikke itt. Az Android 14 frissíthető gyökértárának alaposabb elemzéséhez, és miért jött létre, nézze meg a cikk, amit korábban írtam a témában.