Android-ის root მაღაზია მოითხოვდა OTA განახლებას root სერთიფიკატების დასამატებლად ან წასაშლელად. ეს ასე არ იქნება Android 14-ში.
ანდროიდს აქვს მცირე პრობლემა, რომელიც ყოველ ცისფერ მთვარეზე მხოლოდ ერთხელ აჩენს თავის მახინჯ თავს, მაგრამ როდესაც ეს ხდება, ეს იწვევს გარკვეულ პანიკას. საბედნიეროდ, Google-ს აქვს გამოსავალი Android 14-ში, რომელიც ამ პრობლემას თავიდანვე აღმოფხვრის. პრობლემა ის არის, რომ Android სისტემის ძირეული სერტიფიკატების მაღაზია (root store) შეიძლება განახლდეს მხოლოდ ჰაერის (OTA) განახლების მეშვეობით Android-ის არსებობის უმეტესი ნაწილისთვის. მიუხედავად იმისა, რომ OEM-ები და ოპერატორები უკეთესები გახდნენ განახლებების უფრო სწრაფად და ხშირად გამოქვეყნებაში, ყველაფერი მაინც შეიძლება უკეთესი იყოს. სწორედ ამიტომ, Google-მა შეიმუშავა გამოსავალი, რათა Android-ის root მაღაზიის განახლებადი Google Play-ს მეშვეობით, დაწყებული Android 14.
როდესაც ყოველდღიურად შედიხართ ონლაინში, გჯერათ, რომ თქვენი მოწყობილობის პროგრამული უზრუნველყოფა სწორად არის კონფიგურირებული, რათა მიუთითოთ სწორ სერვერებზე, რომლებიც მასპინძლობენ ვებსაიტებს, რომელთა მონახულებაც გსურთ. სწორი კავშირის დამყარება მნიშვნელოვანია, რათა არ აღმოჩნდეთ სერვერზე, რომელსაც ეკუთვნის ცუდი განზრახვები, მაგრამ უსაფრთხოდ. ამ კავშირის დამყარება ასევე მნიშვნელოვანია, ამიტომ ნებისმიერი მონაცემი, რომელსაც თქვენ აგზავნით ამ სერვერზე, დაშიფრულია ტრანზიტში (TLS) და, იმედია, ადვილი არ იქნება ჩასჩურჩულა. თქვენი ოპერაციული სისტემა, ვებ ბრაუზერი და აპები დაამყარებენ უსაფრთხო კავშირებს სერვერებთან ინტერნეტში (HTTPS), თუმცა, თუ ენდობიან სერვერის (TLS) უსაფრთხოების სერტიფიკატს.
იმის გამო, რომ ინტერნეტში ამდენი ვებსაიტია, თუმცა, OS-ები, ვებ ბრაუზერები და აპლიკაციები არ ინახავენ ყველა საიტის უსაფრთხოების სერტიფიკატის ჩამონათვალს, რომელსაც ენდობიან. ამის ნაცვლად, ისინი ეძებენ ვინ მოაწერა ხელი საიტზე გაცემულ უსაფრთხოების სერტიფიკატს: ხელმოწერილი იყო თუ არა სხვა სუბიექტის მიერ (სერთიფიკატის ორგანო [CA]), რომელსაც ენდობიან? ვალიდაციის ეს ჯაჭვი შეიძლება იყოს რამდენიმე ფენის სიღრმე, სანამ არ მიაღწევთ root CA-ს, რომელიც გასცემს უსაფრთხოებას სერთიფიკატი გამოიყენება სერთიფიკატზე ხელმოწერისთვის, რომელმაც საბოლოოდ მოაწერა ხელი თქვენს საიტზე გაცემულ სერტიფიკატს სტუმრად.
root CA-ების რაოდენობა ბევრად, ბევრად ნაკლებია, ვიდრე ვებსაიტების რაოდენობა, რომლებსაც აქვთ მათ მიერ გაცემული უსაფრთხოების სერთიფიკატები, პირდაპირ ან ერთი ან მეტი შუამავალი CA-ის მეშვეობით, რითაც შესაძლებელი გახდება OS-ებისთვის და ვებ ბრაუზერებისთვის, შეინარჩუნონ root CA სერთიფიკატების სია, რომლებიც მათ ნდობა. მაგალითად, Android-ს აქვს სანდო root სერთიფიკატების სია, რომლებიც იგზავნება OS-ის მხოლოდ წაკითხვადი სისტემის დანაყოფში მისამართზე /system/etc/security/cacerts. თუ აპები არა შეზღუდეთ რომელ სერტიფიკატებს ენდოთ, პრაქტიკას უწოდებენ სერტიფიკატის დამაგრებას, შემდეგ ისინი ნაგულისხმევად იყენებენ OS-ის root მაღაზიის გამოყენებას, როდესაც გადაწყვეტენ, ენდონ თუ არა უსაფრთხოების სერტიფიკატს. ვინაიდან „სისტემის“ დანაყოფი მხოლოდ წაკითხვადია, Android-ის ძირეული მაღაზია შეუცვლელია OS-ის განახლების გარეთ, რამაც შეიძლება გამოიწვიოს პრობლემა, როდესაც Google-ს სურს ამოიღოს ან დაამატოთ ახალი root სერტიფიკატი.
ზოგჯერ არის root სერთიფიკატი ვადის გასვლის შესახებ, პოტენციურად მიგვიყვანს საიტებისა და სერვისების გაფუჭებამდე და ვებ ბრაუზერების გაფრთხილებამდე დაუცველი კავშირების შესახებ. ზოგიერთ შემთხვევაში, CA, რომელმაც გასცა root სერტიფიკატი ეჭვმიტანილი იყო მავნე ან კომპრომეტირებული. ან ა ახალი root სერთიფიკატი ჩნდება, რომელიც უნდა დაემატოს ყველა ძირითად OS-ის root მაღაზიას, სანამ CA რეალურად დაიწყებს სერთიფიკატების ხელმოწერას. Android-ის root მაღაზიის განახლება არ საჭიროებს ხშირად განახლებას, მაგრამ ეს ისე ხდება, რომ Android-ის განახლებების შედარებით ნელი ტემპი პრობლემად იქცევა.
Android 14-დან დაწყებული, თუმცა Android-ის root მაღაზიას აქვს გახდეს განახლებადი Google Play-ს მეშვეობით. Android 14-ს ახლა აქვს ორი დირექტორია, რომელიც შეიცავს OS-ის root მაღაზიას: ზემოხსენებული, უცვლელი-ოტა-ს გარეთ. /system/etc/security/cacerts მდებარეობა და ახალი, განახლებადი /apex/com.[google].android.conscrypt/security/cacerts დირექტორია. ეს უკანასკნელი შეიცავს Conscrypt მოდულს, Project Mainline მოდულს, რომელიც დანერგილია Android 10-ში, რომელიც უზრუნველყოფს Android-ის TLS განხორციელებას. ვინაიდან Conscrypt მოდულის განახლება შესაძლებელია Google Play სისტემის განახლებების საშუალებით, ეს ნიშნავს, რომ Android-ის root მაღაზიაც იქნება.
Android-ის ძირეული მაღაზიის განახლების გარდა, Android 14 ასევე ამატებს და შლის ზოგიერთ root სერთიფიკატს, როგორც Google-ის წლიური განახლების ნაწილი სისტემის root მაღაზიისთვის.
ძირეული სერთიფიკატები, რომლებიც დაემატა Android 14-ს მოიცავს:
- AC RAIZ FNMT-RCM SERVIDORES SEGUROS
- ANF Secure Server Root CA
- Autoridad de Certificacion Firmaprofesional CIF A62634068
- რა თქმა უნდა Root E1
- რა თქმა უნდა Root R1
- Certum EC-384 CA
- Certum Trusted Root CA
- D-TRUST BR Root CA 1 2020
- D-TRUST EV Root CA 1 2020
- DigiCert TLS ECC P384 Root G5
- DigiCert TLS RSA4096 Root G5
- GLOBALTRUST 2020
- GlobalSign Root E46
- GlobalSign Root R46
- HARICA TLS ECC Root CA 2021
- HARICA TLS RSA Root CA 2021
- HiPKI Root CA - G1
- ISRG Root X2
- უსაფრთხოების კომუნიკაცია ECC RootCA1
- უსაფრთხოების კომუნიკაცია RootCA3
- Telia Root CA v2
- Tugra Global Root CA ECC v3
- Tugra Global Root CA RSA v3
- TunTrust Root CA
- vTrus ECC Root CA
- vTrus Root CA
ძირეული სერთიფიკატები, რომლებიც ამოღებულია Android 14-ში, მოიცავს:
- Commerce of Commerce Root - 2008 წ
- Cybertrust Global Root
- DST Root CA X3
- EC-ACC
- GeoTrust Primary Certification Authority - G2
- Global Chambersign Root 2008 წ
- GlobalSign
- საბერძნეთის აკადემიური და კვლევითი ინსტიტუტები RootCA 2011 წ
- ქსელური გადაწყვეტილებების სერთიფიკატის ავტორიტეტი
- QuoVadis Root სერტიფიცირების ორგანო
- Sonera Class2 CA
- Staat der Nederlanden EV Root CA
- Staat der Nederlanden Root CA - G3
- TrustCor ECA-1
- TrustCor RootCert CA-1
- TrustCor RootCert CA-2
- Trustis FPS Root CA
- VeriSign Universal Root Certification Authority
TLS სერთიფიკატების უფრო სიღრმისეული ახსნისთვის, უნდა წაიკითხოთ ჩემი კოლეგა ადამ კონვეის სტატია აქ. უფრო საფუძვლიანი ანალიზისთვის, თუ როგორ მუშაობს Android 14-ის განახლებადი root მაღაზია და რატომ გაჩნდა, იხილეთ სტატია, რომელიც ადრე დავწერე თემაზე.