Android 14 membuat sertifikat root dapat diupdate melalui Google Play untuk melindungi pengguna dari CA berbahaya

Penyimpanan root Android biasanya memerlukan pembaruan OTA untuk menambah atau menghapus sertifikat root. Itu tidak akan terjadi di Android 14.

Android memiliki sedikit masalah yang hanya memunculkan kepalanya yang jelek sekali setiap bulan biru, tetapi jika itu terjadi, itu menyebabkan kepanikan. Untungnya, Google memiliki solusi di Android 14 yang mengatasi masalah ini sejak awal. Masalahnya adalah penyimpanan sertifikat akar (root store) sistem Android hanya dapat diperbarui melalui pembaruan over-the-air (OTA) untuk sebagian besar keberadaan Android. Sementara OEM dan operator menjadi lebih baik dalam mendorong pembaruan lebih cepat dan lebih sering, hal-hal masih bisa lebih baik. Itu sebabnya Google telah menemukan solusi untuk membuat toko root Android dapat diperbarui melalui Google Play, mulai dari Android 14.

Saat Anda online setiap hari, Anda percaya bahwa perangkat lunak perangkat Anda dikonfigurasi dengan benar untuk mengarahkan Anda ke server yang tepat yang menghosting situs web yang ingin Anda kunjungi. Membangun koneksi yang tepat itu penting agar Anda tidak berakhir di server milik seseorang dengan niat buruk, tetapi aman membangun koneksi itu juga penting sehingga setiap data yang Anda kirim ke server itu dienkripsi dalam perjalanan (TLS) dan mudah-mudahan tidak dapat dengan mudah mengintip. OS, browser web, dan aplikasi Anda hanya akan membuat koneksi aman dengan server di Internet (HTTPS), jika mereka memercayai sertifikat keamanan server (TLS).

Karena ada begitu banyak situs web di Internet, OS, browser web, dan aplikasi tidak menyimpan daftar sertifikat keamanan setiap situs yang mereka percayai. Sebaliknya, mereka melihat siapa yang menandatangani sertifikat keamanan yang dikeluarkan untuk situs: Apakah ditandatangani sendiri atau ditandatangani oleh entitas lain (otoritas sertifikat [CA]) yang mereka percayai? Rantai validasi ini bisa beberapa lapis hingga Anda mencapai root CA yang mengeluarkan keamanan sertifikat digunakan untuk menandatangani sertifikat yang akhirnya menandatangani sertifikat yang dikeluarkan untuk situs Anda mengunjungi.

Jumlah CA root jauh lebih kecil dari jumlah situs web yang memiliki sertifikat keamanan yang dikeluarkan oleh mereka, baik secara langsung maupun melalui satu atau lebih CA perantara, sehingga memungkinkan OS dan browser web untuk memelihara daftar sertifikat root CA yang mereka memercayai. Android, misalnya, memiliki daftar sertifikat root tepercaya yang disertakan dalam partisi sistem hanya-baca OS di /system/etc/security/cacerts. Jika aplikasi tidak membatasi sertifikat mana yang harus dipercaya, praktik yang disebut penyematan sertifikat, lalu secara default menggunakan penyimpanan root OS saat memutuskan apakah akan mempercayai sertifikat keamanan. Karena partisi "sistem" hanya dapat dibaca, penyimpanan root Android tidak dapat diubah di luar pembaruan OS, yang dapat menimbulkan masalah saat Google ingin menghapus atau menambahkan sertifikat root baru.

Terkadang, sertifikat root akan kedaluwarsa, berpotensi menyebabkan situs dan layanan rusak dan browser web memberikan peringatan tentang koneksi yang tidak aman. Dalam beberapa kasus, CA yang mengeluarkan sertifikat root adalah dicurigai berbahaya atau disusupi. Atau a sertifikat akar baru muncul yang perlu ditambahkan sendiri ke setiap root store OS utama sebelum CA benar-benar dapat mulai menandatangani sertifikat. Root store Android tidak perlu diperbarui sesering itu, tetapi cukup sering terjadi bahwa kecepatan pembaruan Android yang relatif lambat menjadi masalah.

Namun, mulai Android 14, toko root Android memilikinya dapat diperbarui melalui Google Play. Android 14 sekarang memiliki dua direktori yang berisi root store OS: yang disebutkan di atas, tidak dapat diubah-di luar-OTA /system/etc/security/cacerts lokasi dan /apex/com baru yang dapat diperbarui.[google].android.conscrypt/security/cacerts direktori. Yang terakhir terdapat dalam modul Conscrypt, modul Project Mainline yang diperkenalkan di Android 10 yang menyediakan implementasi TLS Android. Karena modul Conscrypt dapat diperbarui melalui Pembaruan Sistem Google Play, itu berarti penyimpanan root Android juga demikian.

Selain membuat penyimpanan root Android dapat diperbarui, Android 14 juga menambahkan dan menghapus beberapa sertifikat root sebagai bagian dari pembaruan tahunan Google ke penyimpanan root sistem.

Sertifikat root yang telah ditambahkan ke Android 14 meliputi:

  1. AC RAIZ FNMT-RCM SERVIDORES SEGUROS
  2. CA Akar Server Aman ANF
  3. Autoridad de Certificacion Firmaprofesional CIF A62634068
  4. Pasti Root E1
  5. Pasti Root R1
  6. Certum EC-384 CA
  7. CA Root Tepercaya Certum
  8. D-TRUST BR Akar CA 1 2020
  9. D-TRUST EV Root CA 1 2020
  10. DigiCert TLS ECC P384 Akar G5
  11. DigiCert TLS RSA4096 Akar G5
  12. GLOBALTRUST 2020
  13. Akar GlobalSign E46
  14. Akar GlobalSign R46
  15. HARICA TLS ECC Root CA 2021
  16. HARICA TLS RSA Root CA 2021
  17. CA Akar HiPKI - G1
  18. ISRG Akar X2
  19. Komunikasi Keamanan ECC RootCA1
  20. RootCA3 Komunikasi Keamanan
  21. Telia Akar CA v2
  22. Tugra Global Akar CA ECC v3
  23. Tugra Akar Global CA RSA v3
  24. TunTrust Akar CA
  25. vTrus ECC Akar CA
  26. vTrus Akar CA

Sertifikat root yang telah dihapus di Android 14 meliputi:

  1. Root Kamar Dagang - 2008
  2. Akar Global Cybertrust
  3. DST Akar CA X3
  4. EC-ACC
  5. Otoritas Sertifikasi Utama GeoTrust - G2
  6. Root Chambersign Global 2008
  7. Tanda Global
  8. Institusi Akademik dan Penelitian Hellenic RootCA 2011
  9. Otoritas Sertifikat Solusi Jaringan
  10. Otoritas Sertifikasi Root QuoVadis
  11. Sonera Kelas2 CA
  12. Staat der Nederlanden EV Root CA
  13. Staat der Nederlanden Root CA - G3
  14. TrustCor ECA-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Trust adalah FPS Root CA
  18. VeriSign Otoritas Sertifikasi Root Universal

Untuk penjelasan lebih mendalam tentang sertifikat TLS, Anda harus membaca rekan saya Artikel Adam Conway di sini. Untuk analisis yang lebih menyeluruh tentang cara kerja penyimpanan root Android 14 yang dapat diperbarui dan mengapa hal itu terjadi, lihat artikel yang saya tulis sebelumnya pada subjek.