חנות השורש של אנדרואיד דרשה בעבר עדכון OTA כדי להוסיף או להסיר אישורי שורש. זה לא יהיה המקרה באנדרואיד 14.
לאנדרואיד יש בעיה קלה שמרימה את ראשה המכוער רק פעם אחת בכל ירח כחול, אבל כשזה קורה, זה גורם לפאניקה מסוימת. למרבה המזל, לגוגל יש פתרון באנדרואיד 14 שדוחף את הבעיה הזו. הבעיה היא שמאגר תעודות השורש של מערכת אנדרואיד (חנות שורש) יכול להתעדכן רק באמצעות עדכון אויר (OTA) במשך רוב הקיום של אנדרואיד. בעוד שיצרני ציוד מקורי וספקים השתפרו בדחיפת עדכונים במהירות ובתדירות גבוהה יותר, הדברים עדיין יכולים להיות טובים יותר. זו הסיבה שגוגל פיתחה פתרון כדי להפוך את חנות השורש של אנדרואיד לניתנת לעדכון דרך Google Play, החל מחודש אנדרואיד 14.
כשאתה נכנס לאינטרנט כל יום, אתה סומך על כך שהתוכנה של המכשיר שלך מוגדרת כהלכה כדי להפנות אותך לשרתים הנכונים המארחים את האתרים שבהם אתה רוצה לבקר. יצירת החיבור הנכון חשובה כדי שלא תגיע לשרת בבעלות מישהו עם כוונות רעות, אלא בצורה מאובטחת יצירת חיבור זה חשובה גם כך שכל הנתונים שאתה שולח לאותו שרת מוצפנים במעבר (TLS) ובתקווה לא ניתן בקלות חיטט. מערכת ההפעלה, דפדפן האינטרנט והאפליקציות שלך יקימו חיבורים מאובטחים עם שרתים באינטרנט (HTTPS), אך אם הם סומכים על תעודת האבטחה של השרת (TLS).
עם זאת, מכיוון שיש כך, כל כך הרבה אתרים באינטרנט, מערכת הפעלה, דפדפני אינטרנט ואפליקציות לא מנהלות רשימה של תעודות האבטחה של כל אתר שהם סומכים עליהם. במקום זאת, הם מחפשים לראות מי חתם על תעודת האבטחה שהונפקה לאתר: האם הוא נחתם בעצמו או חתום על ידי גורם אחר (רשות אישורים [CA]) שהם סומכים עליו? שרשרת אימותים זו יכולה להיות עמוקה בכמה שכבות עד שתגיע ל-CA שורש שהנפיק את האבטחה תעודה המשמשת לחתימה על התעודה שחתמה בסופו של דבר על התעודה שהונפק לאתר שאתה מבקר.
מספר ה-CAs הבסיסיים קטן בהרבה ממספר האתרים שיש להם תעודות אבטחה שהונפקו על ידם, ישירות או באמצעות CA מתווך אחד או יותר, ובכך לאפשר למערכות הפעלה ודפדפני אינטרנט לנהל רשימה של אישורי CA שורש שהם אמון. לאנדרואיד, למשל, יש רשימה של אישורי בסיס מהימנים הנשלחים במחיצת המערכת לקריאה בלבד של מערכת ההפעלה בכתובת /system/etc/security/cacerts. אם אפליקציות לא להגביל באילו תעודות לסמוך, נוהג שנקרא הצמדת אישורים, אז הם כברירת מחדל להשתמש במאגר הבסיס של מערכת ההפעלה כאשר הם מחליטים אם לסמוך על אישור אבטחה. מכיוון שמחיצת ה"מערכת" היא לקריאה בלבד, מאגר השורש של אנדרואיד אינו ניתן לשינוי מחוץ לעדכון מערכת ההפעלה, מה שעלול להוות בעיה כאשר גוגל רוצה להסיר או להוסיף אישור שורש חדש.
לפעמים, תעודת שורש היא עומד לפוג, שעלול להוביל לשבירת אתרים ושירותים ודפדפני אינטרנט מפרסמים אזהרות לגבי חיבורים לא מאובטחים. במקרים מסוימים, ה-CA שהנפיק אישור בסיס הוא חשוד כזדוני או בסיכון. או א תעודת שורש חדשה צץ שצריך להוסיף את עצמו לכל חנות השורש של כל מערכת הפעלה גדולה לפני שה-CA יוכל להתחיל לחתום על אישורים. חנות השורש של אנדרואיד לא צריכה להתעדכן כל כך הרבה, אבל זה קורה מספיק שקצב העדכונים האיטי יחסית של אנדרואיד הופך לבעיה.
עם זאת, החל מאנדרואיד 14, יש לחנות השורש של אנדרואיד להפוך לעדכן באמצעות Google Play. לאנדרואיד 14 יש כעת שתי ספריות המכילות את חנות הבסיס של מערכת ההפעלה: האמור לעיל, בלתי ניתן לשינוי מחוץ ל-OTA מיקום /system/etc/security/cacerts וה/apex/com.[google].android.conscrypt/security/cacerts החדש והניתן לעדכון מַדרִיך. זה האחרון כלול במודול Conscrypt, מודול Project Mainline שהוצג באנדרואיד 10 המספק את הטמעת TLS של אנדרואיד. מכיוון שמודול Conscrypt ניתן לעדכון באמצעות עדכוני מערכת של Google Play, זה אומר שגם חנות השורש של אנדרואיד תהיה.
מלבד הפיכת חנות השורש של אנדרואיד לניתנת לעדכון, אנדרואיד 14 גם מוסיף ומסיר כמה תעודות שורש כחלק מהעדכון השנתי של גוגל לחנות השורש של המערכת.
אישורי השורש שנוספו לאנדרואיד 14 כוללים:
- AC RAIZ FNMT-RCM SERVIDORES SEGUROS
- ANF Secure Server Root CA
- Autoridad de Certificacion Firmaprofesional CIF A62634068
- בהחלט Root E1
- בהחלט R1 R1
- Certum EC-384 CA
- Certum Trusted Root CA
- D-TRUST BR Root CA 1 2020
- D-TRUST EV Root CA 1 2020
- DigiCert TLS ECC P384 Root G5
- DigiCert TLS RSA4096 Root G5
- GLOBALTRUST 2020
- GlobalSign Root E46
- GlobalSign R46
- HARICA TLS ECC Root CA 2021
- HARICA TLS RSA Root CA 2021
- HiPKI Root CA - G1
- ISRG Root X2
- תקשורת אבטחה ECC RootCA1
- תקשורת אבטחה RootCA3
- Telia Root CA v2
- Tugra Global Root CA ECC v3
- Tugra Global Root CA RSA v3
- TunTrust Root CA
- vTrus ECC שורש CA
- vTrus Root CA
אישורי השורש שהוסרו באנדרואיד 14 כוללים:
- שורש לשכות המסחר - 2008
- Cybertrust Global Root
- DST Root CA X3
- EC-ACC
- רשות האישורים הראשית של GeoTrust - G2
- Global Chambersign Root 2008
- GlobalSign
- מוסדות אקדמיה ומחקר הלני RootCA 2011
- רשות האישורים לפתרונות רשת
- רשות אישורי השורש של QuoVadis
- Sonera Class2 CA
- Staat der Nederlanden EV Root CA
- Staat der Nederlanden Root CA - G3
- TrustCor ECA-1
- TrustCor RootCert CA-1
- TrustCor RootCert CA-2
- Trustis FPS שורש CA
- VeriSign Universal Root Certification Authority
להסבר מעמיק יותר על תעודות TLS, כדאי לקרוא את עמיתי המאמר של אדם קונווי כאן. לניתוח מעמיק יותר של איך פועלת חנות השורש הניתנת לעדכון של אנדרואיד 14 ומדוע היא נוצרה, בדוק המאמר שכתבתי בעבר בנושא.