Android saknes veikalā agrāk bija nepieciešams OTA atjauninājums, lai pievienotu vai noņemtu saknes sertifikātus. Operētājsistēmā Android 14 tas tā nebūs.
Android ir neliela problēma, kas tikai reizi zilajā mēnesī paceļ savu neglīto galvu, bet, kad tā notiek, tas izraisa zināmu paniku. Par laimi, Google ir risinājums operētājsistēmā Android 14, kas novērš šo problēmu jau pašā sākumā. Problēma ir tāda, ka Android sistēmas saknes sertifikātu krātuvi (saknes krātuvi) lielāko Android pastāvēšanas laiku varēja atjaunināt, tikai izmantojot bezvadu (OTA) atjauninājumu. Lai gan oriģinālo iekārtu ražotāji un mobilo sakaru operatori ir kļuvuši labāki, ātrāk un biežāk izspiežot atjauninājumus, lietas joprojām varētu būt labākas. Tāpēc Google ir izstrādājis risinājumu, lai Android saknes veikals būtu atjaunināms, izmantojot Google Play, sākot no šī gada Android 14.
Kad izmantojat internetu katru dienu, jūs uzticaties, ka jūsu ierīces programmatūra ir pareizi konfigurēta, lai norādītu jūs uz pareizajiem serveriem, kuros tiek mitinātas vietnes, kuras vēlaties apmeklēt. Pareiza savienojuma izveide ir svarīga, lai jūs nenokļūtu serverī, kas pieder kādam ar ļauniem nodomiem, bet gan droši. šī savienojuma izveide ir arī svarīga, tāpēc visi dati, ko sūtāt uz šo serveri, tiek šifrēti sūtīšanas laikā (TLS) un, cerams, tos nevarēs viegli veikt. snooped tālāk. Tomēr jūsu operētājsistēma, tīmekļa pārlūkprogramma un lietotnes izveidos drošus savienojumus ar serveriem internetā (HTTPS) tikai tad, ja tie uzticas servera (TLS) drošības sertifikātam.
Tomēr, tā kā internetā ir tik daudz vietņu, OS, tīmekļa pārlūkprogrammas un lietotnes neuztur sarakstu ar katras vietnes drošības sertifikātiem, kuriem tās uzticas. Tā vietā viņi meklē, kurš parakstījis vietnei izsniegto drošības sertifikātu: vai tas bija pašparaksts vai cita juridiska persona (sertifikācijas iestāde [CA]), kurai viņi uzticas? Šī validācijas ķēde var būt vairāku slāņu dziļumā, līdz jūs sasniedzat saknes CA, kas izdeva drošību sertifikāts, ko izmanto, lai parakstītu sertifikātu, kas galu galā parakstīja sertifikātu, kas izsniegts vietnei, kurā atrodaties apmeklējot.
Saknes CA skaits ir daudz, daudz mazāks nekā to vietņu skaits, kurām ir tiešā vai tieši izsniegtie drošības sertifikāti. izmantojot vienu vai vairākas starpniecības CA, tādējādi ļaujot operētājsistēmām un tīmekļa pārlūkprogrammām uzturēt to saknes CA sertifikātu sarakstu. uzticēties. Piemēram, operētājsistēmā Android ir saraksts ar uzticamiem saknes sertifikātiem, kas tiek piegādāti OS tikai lasāmajā sistēmas nodalījumā vietnē /system/etc/security/cacerts. Ja lietotnes to nedara ierobežot, kuriem sertifikātiem uzticēties, ko sauc par sertifikātu piespraušanu, tad viņi pēc noklusējuma izmanto OS saknes veikalu, lemjot, vai uzticēties drošības sertifikātam. Tā kā “sistēmas” nodalījums ir tikai lasāms, Android saknes veikals ir nemainīgs ārpus OS atjauninājuma, kas var radīt problēmas, ja Google vēlas noņemt vai pievienot jaunu saknes sertifikātu.
Dažreiz saknes sertifikāts ir drīz beigsies derīguma termiņš, kas var izraisīt vietņu un pakalpojumu darbības pārtraukšanu un tīmekļa pārlūkprogrammu brīdinājumus par nedrošiem savienojumiem. Dažos gadījumos CA, kas izdevusi saknes sertifikātu, ir ir aizdomas, ka tā ir ļaunprātīga vai apdraudēta. Vai arī a jauns saknes sertifikāts tiek parādīts, kas ir jāpievieno katrai lielākajai operētājsistēmas saknes veikalam, pirms CA var sākt parakstīt sertifikātus. Android saknes veikals nav tik bieži jāatjaunina, taču tas notiek pietiekami, ka Android salīdzinoši lēnais atjaunināšanas temps kļūst par problēmu.
Tomēr, sākot ar operētājsistēmu Android 14, Android saknes veikalā ir kļūst atjaunināmi, izmantojot Google Play. Operētājsistēmā Android 14 tagad ir divi direktoriji, kuros ir OS saknes veikals: iepriekš minētais, nemainīgais ārpus OTA. /system/etc/security/cacerts atrašanās vieta un jaunā, atjaunināmā /apex/com.[google].android.conscrypt/security/cacerts direktoriju. Pēdējais ir ietverts Conscrypt modulī, Project Mainline modulī, kas ieviests operētājsistēmā Android 10, kas nodrošina Android TLS ieviešanu. Tā kā Conscrypt moduli var atjaunināt, izmantojot Google Play sistēmas atjauninājumus, tas nozīmē, ka būs pieejams arī Android saknes veikals.
Papildus Android saknes veikala atjaunināšanai, Android 14 arī pievieno un noņem dažus saknes sertifikātus kā daļu no Google ikgadējā sistēmas saknes veikala atjauninājuma.
Saknes sertifikāti, kas ir pievienoti operētājsistēmai Android 14, ietver:
- AC RAIZ FNMT-RCM SERVIDORES SEGUROS
- ANF Secure Server Root CA
- Autoridad de Certificacion Firmaprofesional CIF A62634068
- Noteikti sakne E1
- Noteikti Root R1
- Certum EC-384 CA
- Certum Trusted Root CA
- D-TRUST BR Root CA 1 2020
- D-TRUST EV Root CA 1 2020
- DigiCert TLS ECC P384 Root G5
- DigiCert TLS RSA4096 Root G5
- GLOBALTRUST 2020
- GlobalSign Root E46
- GlobalSign Root R46
- HARICA TLS ECC saknes CA 2021
- HARICA TLS RSA saknes CA 2021
- HiPKI Root CA — G1
- ISRG sakne X2
- Drošības komunikācija ECC RootCA1
- Drošības komunikācijas RootCA3
- Telia Root CA v2
- Tugra Global Root CA ECC v3
- Tugra Global Root CA RSA v3
- TunTrust Root CA
- vTrus ECC saknes CA
- vTrus Root CA
Saknes sertifikāti, kas ir noņemti operētājsistēmā Android 14, ietver:
- Tirdzniecības palātu sakne — 2008. gads
- Cybertrust globālā sakne
- DST saknes CA X3
- EK-ACC
- GeoTrust primārā sertifikācijas iestāde — G2
- Global Chambersign Root 2008
- GlobalSign
- Grieķijas akadēmiskās un pētniecības iestādes RootCA 2011
- Tīkla risinājumu sertifikācijas iestāde
- QuoVadis saknes sertifikācijas iestāde
- Sonera Class2 CA
- Staat der Nederlanden EV Root CA
- Staat der Nederlanden Root CA — G3
- TrustCor ECA-1
- TrustCor RootCert CA-1
- TrustCor RootCert CA-2
- Trustis FPS Root CA
- VeriSign universālās saknes sertifikācijas iestāde
Lai iegūtu padziļinātu skaidrojumu par TLS sertifikātiem, jums vajadzētu izlasīt manu kolēģi Ādama Konveja raksts šeit. Lai iegūtu rūpīgāku analīzi par to, kā darbojas Android 14 atjaunināmais saknes veikals un kāpēc tas tika izveidots, skatiet raksts, ko es rakstīju iepriekš par tēmu.