Android 14 では、悪意のある CA からユーザーを保護するために、Google Play 経由でルート証明書を更新できるようになりました

モバイルJul 20, 2023

Android のルート ストアでは、ルート証明書を追加または削除するには OTA アップデートが必要でした。 Android 14ではそうではありません。

Android には、ブルームーンごとに 1 回だけ醜い問題が発生する小さな問題がありますが、問題が発生すると、ある程度のパニックが引き起こされます。 幸いなことに、Google は Android 14 でこの問題の芽を摘むソリューションを提供しています。 問題は、Android システムのルート証明書ストア (ルート ストア) が、Android の存在期間のほとんどにおいて無線 (OTA) アップデート経由でしか更新できなかったことです。 OEM と通信事業者は、より迅速かつ頻繁にアップデートをプッシュすることで改善してきましたが、状況はまだ改善される可能性があります。 そのため、Google は、Android のルート ストアを Google Play 経由で更新できるようにするソリューションを考案しました。 アンドロイド14.

毎日オンラインにアクセスするとき、デバイスのソフトウェアが、アクセスしたい Web サイトをホストする適切なサーバーをポイントするように適切に設定されていると信頼します。 悪意のある人物が所有するサーバーにアクセスしないように、安全に適切な接続を確立することが重要です。 接続を確立することも重要であるため、そのサーバーに送信するデータは転送中に暗号化 (TLS) され、簡単に暗号化されることは望ましくありません。 覗き見した。 ただし、OS、Web ブラウザ、アプリは、サーバーの (TLS) セキュリティ証明書を信頼する場合にのみ、インターネット上のサーバーとの安全な接続 (HTTPS) を確立します。

ただし、インターネット上には非常に多くの Web サイトがあるため、OS、Web ブラウザ、アプリは、信頼するすべてのサイトのセキュリティ証明書のリストを保持しているわけではありません。 代わりに、サイトに発行されたセキュリティ証明書に誰が署名したかを確認します。自己署名したものなのか、それとも信頼する別のエンティティ (認証局 (CA)) によって署名されたものなのかを確認します。 この検証のチェーンは、セキュリティを発行したルート CA に到達するまで、いくつかの層に及ぶ可能性があります。 署名に使用された証明書、最終的にサイトに発行された証明書に署名した証明書 訪問中。

ルート CA の数は、ルート CA によって直接または発行されたセキュリティ証明書を持つ Web サイトの数よりもはるかに少ないです。 1 つ以上の中間 CA を経由するため、OS と Web ブラウザがルート CA 証明書のリストを維持できるようになります。 信頼。 たとえば、Android には、OS の読み取り専用システム パーティション (/system/etc/security/cacerts) に同梱されている信頼できるルート証明書のリストがあります。 アプリがそうでない場合 信頼する証明書を制限する、証明書の固定と呼ばれる手法を使用すると、セキュリティ証明書を信頼するかどうかを決定するときに、デフォルトで OS のルート ストアが使用されます。 「システム」パーティションは読み取り専用であるため、Android のルート ストアは OS アップデート以外では不変であり、Google が新しいルート証明書を削除または追加するときに問題が発生する可能性があります。

場合によっては、ルート証明書は 有効期限が近づいています、サイトやサービスが破損したり、Web ブラウザーが安全でない接続に関する警告を表示したりする可能性があります。 場合によっては、ルート証明書を発行した CA が 悪意があるか侵害されている疑いがある. または 新しいルート証明書 CA が実際に証明書の署名を開始する前に、すべての主要な OS のルート ストアに自身を追加する必要がある問題が発生します。 Android のルート ストアはそれほど頻繁に更新する必要はありませんが、Android の更新ペースが比較的遅いことが問題になることがよくあります。

ただし、Android 14 以降、Android のルート ストアには Google Play経由で更新可能になる. Android 14 には、OS のルート ストアを含む 2 つのディレクトリがあります: 前述の immutable-outside-of-OTA /system/etc/security/cacerts の場所と、更新可能な新しい /apex/com.[google].android.conscrypt/security/cacerts ディレクトリ。 後者は、Android 10 で導入され、Android の TLS 実装を提供する Project Mainline モジュールである Conscrypt モジュール内に含まれています。 Conscrypt モジュールは Google Play システム アップデートを通じて更新できるため、Android のルート ストアも更新できることになります。

Android 14 では、Android のルート ストアを更新可能にするだけでなく、Google のシステム ルート ストアへの年次更新の一環として、いくつかのルート証明書も追加および削除されます。

Android 14 に追加されたルート証明書には次のものがあります。

  1. AC RAIZ FNMT-RCM サービス セグロ
  2. ANF セキュア サーバー ルート CA
  3. Firma professional CIF A62634068 の認証を取得
  4. 確かにルートE1
  5. 確かにルートR1
  6. サータム EC-384 CA
  7. Certum 信頼されたルート CA
  8. D-TRUST BR ルート CA 1 2020
  9. D-TRUST EV ルート CA 1 2020
  10. DigiCert TLS ECC P384 ルート G5
  11. DigiCert TLS RSA4096 ルート G5
  12. グローバルトラスト2020
  13. GlobalSign ルート E46
  14. GlobalSign ルート R46
  15. HARICA TLS ECC ルート CA 2021
  16. HARICA TLS RSA ルート CA 2021
  17. HiPKI ルート CA - G1
  18. ISRG ルート X2
  19. セキュリティ通信 ECC RootCA1
  20. セキュリティ通信 RootCA3
  21. Telia ルート CA v2
  22. Tugra グローバル ルート CA ECC v3
  23. Tugra グローバル ルート CA RSA v3
  24. TunTrust ルート CA
  25. vTrus ECC ルート CA
  26. vTrus ルート CA

Android 14 で削除されたルート証明書には次のものがあります。

  1. 商工会議所ルート - 2008
  2. サイバートラスト グローバル ルート
  3. DST ルート CA X3
  4. EC-ACC
  5. GeoTrust プライマリ認証局 - G2
  6. グローバル チェンバーサイン ルート 2008
  7. グローバルサイン
  8. ギリシャの学術研究機関 RootCA 2011
  9. ネットワーク ソリューション認証局
  10. QuoVadis ルート認証局
  11. ソネラ クラス2 CA
  12. ネーデルランデン州立EVルートCA
  13. シュタート デア ネーデルランデン ルート CA - G3
  14. トラストコア ECA-1
  15. TrustCor ルート証明書 CA-1
  16. TrustCor ルート証明書 CA-2
  17. Trustis FPS ルート CA
  18. VeriSign ユニバーサル ルート証明機関

TLS 証明書のさらに詳しい説明については、私の同僚の記事を読んでください。 アダム・コンウェイの記事はこちら. Android 14 の更新可能なルート ストアがどのように機能するか、またそのようになった理由についてのより徹底的な分析については、以下をご覧ください。 以前書いた記事 件名に。