„Android 14“ leidžia atnaujinti šakninius sertifikatus per „Google Play“, kad apsaugotų vartotojus nuo kenkėjiškų CA

MobilusisJul 20, 2023

„Android“ šakninėje parduotuvėje reikėjo OTA naujinimo, kad būtų galima pridėti arba pašalinti šakninius sertifikatus. „Android 14“ to nebus.

„Android“ turi nedidelę problemą, kuri tik kartą per mėlyną mėnulį pakelia savo bjaurią galvą, bet kai taip atsitinka, tai sukelia tam tikrą paniką. Laimei, „Google“ turi „Android 14“ sprendimą, kuris išspręs šią problemą. Problema ta, kad „Android“ sistemos šakninių sertifikatų saugykla (šakninė saugykla) gali būti atnaujinta tik naudojant belaidžio ryšio (OTA) naujinimą didžiąją „Android“ egzistavimo dalį. Nors originalios įrangos gamintojai ir operatoriai vis geriau siunčia naujinimus greičiau ir dažniau, viskas gali būti geriau. Štai kodėl „Google“ sukūrė sprendimą, kad „Android“ šakninę parduotuvę būtų galima atnaujinti per „Google Play“. Android 14.

Kai prisijungiate prie interneto kiekvieną dieną, pasitikite, kad jūsų įrenginio programinė įranga tinkamai sukonfigūruota, kad nukreiptų jus į tinkamus serverius, kuriuose talpinamos svetainės, kuriose norite apsilankyti. Svarbu užmegzti tinkamą ryšį, kad nepatektumėte į serverį, priklausantį kam nors, turinčiam blogų ketinimų, bet saugiai Taip pat svarbu užmegzti ryšį, todėl visi duomenys, kuriuos siunčiate į tą serverį, yra siunčiami užšifruoti (TLS) ir, tikiuosi, nebus lengva šniukštinėjo. Tačiau jūsų OS, žiniatinklio naršyklė ir programos užmegs saugų ryšį su serveriais internete (HTTPS), tik jei pasitikės serverio (TLS) saugos sertifikatu.

Kadangi internete yra tiek daug svetainių, OS, žiniatinklio naršyklės ir programos neturi visų patikimų svetainių saugos sertifikatų sąrašo. Vietoj to jie žiūri, kas pasirašė svetainei išduotą saugos sertifikatą: ar jis buvo pasirašytas savarankiškai, ar kito subjekto (sertifikavimo institucijos [CA]), kuriuo jie pasitiki? Ši patvirtinimų grandinė gali būti kelių sluoksnių gylio, kol pasieksite saugą išdavusią šakninę CA sertifikatas, naudojamas pasirašyti sertifikatą, kuris galiausiai pasirašė sertifikatą, išduotą jūsų svetainei lankantis.

Pagrindinių CA skaičius yra daug, daug mažesnis nei svetainių, turinčių saugos sertifikatus, išduotus tiesiogiai arba per vieną ar daugiau tarpinių CA, todėl OS ir žiniatinklio naršyklės gali tvarkyti šakninių CA sertifikatų sąrašą. pasitikėti. Pavyzdžiui, „Android“ turi patikimų šakninių sertifikatų sąrašą, kurie pateikiami tik skaitomame OS sistemos skaidinyje adresu /system/etc/security/cacerts. Jei programos to nedaro apriboti, kuriais sertifikatais pasitikėti, tai vadinama sertifikato prisegimu, tada jie pagal numatytuosius nustatymus naudoja OS šakninę saugyklą, kai nuspręs, ar pasitikėti saugos sertifikatu. Kadangi „sistemos“ skaidinys yra tik skaitomas, „Android“ šakninė saugykla yra nekeičiama ne OS naujinimo atveju, todėl gali kilti problemų, kai „Google“ nori pašalinti arba pridėti naują šakninį sertifikatą.

Kartais yra šakninis sertifikatas tuoj baigsis, todėl svetainės ir paslaugos gali sugesti, o žiniatinklio naršyklės perspėti apie nesaugų ryšį. Kai kuriais atvejais šakninį sertifikatą išdavusi CA yra įtariama, kad yra kenkėjiška arba pažeista. Arba a naujas šakninis sertifikatas pasirodo, kad ji turi būti įtraukta į kiekvienos pagrindinės OS šakninę saugyklą, kad CA galėtų iš tikrųjų pradėti pasirašyti sertifikatus. „Android“ šakninės parduotuvės nereikia taip dažnai atnaujinti, tačiau taip atsitinka, kad gana lėtas „Android“ atnaujinimų tempas tampa problema.

Tačiau nuo 14 versijos „Android“ pagrindinė parduotuvė turi bus galima atnaujinti per „Google Play“.. „Android 14“ dabar turi du katalogus, kuriuose yra OS šakninė saugykla: pirmiau minėtas, nepakeičiamas už OTA ribų. /system/etc/security/cacerts vieta ir nauja, atnaujinama /apex/com.[google].android.conscrypt/security/cacerts katalogas. Pastarasis yra „Conscrypt“ modulyje, „Project Mainline“ modulyje, įdiegtame „Android 10“, kuris suteikia „Android“ TLS diegimą. Kadangi „Conscrypt“ modulis yra atnaujinamas naudojant „Google Play“ sistemos naujinimus, tai reiškia, kad taip pat bus ir „Android“ šakninė parduotuvė.

Be to, kad galima atnaujinti „Android“ šakninę parduotuvę, „Android 14“ taip pat prideda ir pašalina kai kuriuos šakninius sertifikatus kaip „Google“ metinio sistemos šakninės parduotuvės atnaujinimo dalį.

Šakniniai sertifikatai, kurie buvo pridėti prie „Android 14“, apima:

  1. AC RAIZ FNMT-RCM SERVIDORES SEGUROS
  2. ANF ​​saugaus serverio šakninis CA
  3. Firmaprofesional CIF sertifikato autorius A62634068
  4. Žinoma, šaknis E1
  5. Žinoma, Root R1
  6. Certum EC-384 CA
  7. „Certum Trusted Root“ CA
  8. D-TRUST BR Root CA 1 2020
  9. D-TRUST EV Root CA 1 2020
  10. DigiCert TLS ECC P384 Root G5
  11. DigiCert TLS RSA4096 šaknis G5
  12. GLOBALTRUST 2020
  13. GlobalSign Root E46
  14. GlobalSign Root R46
  15. HARICA TLS ECC šaknis CA 2021
  16. HARICA TLS RSA Root CA 2021
  17. HiPKI Root CA – G1
  18. ISRG šaknis X2
  19. Saugumo komunikacija ECC RootCA1
  20. Saugumo komunikacija RootCA3
  21. Telia Root CA v2
  22. Tugra Global Root CA ECC v3
  23. Tugra Global Root CA RSA v3
  24. TunTrust Root CA
  25. vTrus ECC Root CA
  26. vTrus Root CA

Pagrindiniai sertifikatai, kurie buvo pašalinti naudojant „Android 14“, apima:

  1. Prekybos rūmų šaknis – 2008 m
  2. „Cybertrust Global Root“.
  3. DST šaknis CA X3
  4. EC-ACC
  5. „GeoTrust“ pirminė sertifikavimo institucija – G2
  6. Global Chambersign Root 2008
  7. GlobalSign
  8. Graikijos akademinės ir mokslinių tyrimų institucijos RootCA 2011
  9. Tinklo sprendimų sertifikavimo institucija
  10. „QuoVadis“ šakninio sertifikavimo institucija
  11. Sonera Class2 CA
  12. Staat der Nederlanden EV Root CA
  13. Staat der Nederlanden Root CA – G3
  14. TrustCor ECA-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Trustis FPS Root CA
  18. VeriSign Universal Root sertifikavimo institucija

Norėdami gauti išsamesnį TLS sertifikatų paaiškinimą, turėtumėte perskaityti mano kolegą Adam Conway straipsnis čia. Norėdami išsamiau analizuoti, kaip veikia Android 14 atnaujinama šakninė parduotuvė ir kodėl ji atsirado, žr. mano anksčiau parašytas straipsnis šiuo klausimu.