Android 14 maakt rootcertificaten updatebaar via Google Play om gebruikers te beschermen tegen kwaadwillende CA's

MobielJul 20, 2023
click fraud protection

De root-store van Android vereiste vroeger een OTA-update om rootcertificaten toe te voegen of te verwijderen. Dat zal niet het geval zijn in Android 14.

Android heeft een klein probleempje dat maar één keer per blauwe maan de kop opsteekt, maar als dat zo is, veroorzaakt het enige paniek. Gelukkig heeft Google in Android 14 een oplossing die dit probleem in de kiem smoort. Het probleem is dat het rootcertificaatarchief (root store) van het Android-systeem alleen kon worden bijgewerkt via een OTA-update (over-the-air) gedurende het grootste deel van het bestaan ​​van Android. Hoewel OEM's en vervoerders er beter in zijn geworden om sneller en vaker updates uit te brengen, kan het nog beter. Daarom heeft Google een oplossing bedacht om de root-store van Android te updaten via Google Play, te beginnen in Android 14.

Wanneer u elke dag online gaat, vertrouwt u erop dat de software van uw apparaat correct is geconfigureerd om u naar de juiste servers te leiden die de websites hosten die u wilt bezoeken. De juiste verbinding tot stand brengen is belangrijk zodat je niet op een server terechtkomt van iemand met kwade bedoelingen, maar veilig het tot stand brengen van die verbinding is ook belangrijk, dus alle gegevens die u naar die server verzendt, zijn versleuteld tijdens het transport (TLS) en hopelijk niet gemakkelijk aan gesnuffeld. Uw besturingssysteem, webbrowser en apps brengen echter alleen veilige verbindingen tot stand met servers op internet (HTTPS) als ze het beveiligingscertificaat van de server (TLS) vertrouwen.

Omdat er echter zo veel websites op internet zijn, houden besturingssystemen, webbrowsers en apps geen lijst bij van het beveiligingscertificaat van elke site die ze vertrouwen. In plaats daarvan kijken ze wie het beveiligingscertificaat heeft ondertekend dat aan de site is uitgegeven: was het zelfondertekend of ondertekend door een andere entiteit (een certificeringsinstantie [CA]) die ze vertrouwen? Deze keten van validaties kan meerdere lagen diep zijn totdat u een root-CA bereikt die de beveiliging heeft uitgegeven certificaat dat is gebruikt om het certificaat te ondertekenen dat uiteindelijk het certificaat heeft ondertekend dat is uitgegeven aan de site waar u zich bevindt bezoek.

Het aantal root-CA's is veel, veel kleiner dan het aantal websites met door hen uitgegeven beveiligingscertificaten, hetzij rechtstreeks, hetzij via een of meer intermediaire CA's, waardoor het voor besturingssystemen en webbrowsers mogelijk wordt om een ​​lijst bij te houden van root-CA-certificaten die ze vertrouwen. Android heeft bijvoorbeeld een lijst met vertrouwde rootcertificaten die worden geleverd in de alleen-lezen systeempartitie van het besturingssysteem op /system/etc/security/cacerts. Als apps dat niet doen beperken welke certificaten te vertrouwen zijn, een praktijk die certificaat-pinning wordt genoemd, gebruiken ze standaard de root-store van het besturingssysteem om te beslissen of ze een beveiligingscertificaat willen vertrouwen. Aangezien de "systeem" -partitie alleen-lezen is, is de root-opslag van Android onveranderlijk buiten een OS-update, wat een probleem kan vormen wanneer Google een nieuw rootcertificaat wil verwijderen of toevoegen.

Soms is een rootcertificaat dat wel bijna afloopt, wat er mogelijk toe kan leiden dat sites en services kapot gaan en dat webbrowsers waarschuwingen geven over onveilige verbindingen. In sommige gevallen is de CA die een basiscertificaat heeft uitgegeven vermoedelijk kwaadaardig of gecompromitteerd. Of een nieuw rootcertificaat duikt op dat zichzelf moet toevoegen aan de root-store van elk belangrijk besturingssysteem voordat de CA daadwerkelijk kan beginnen met het ondertekenen van certificaten. De root-store van Android hoeft niet zo vaak te worden bijgewerkt, maar het komt vaak voor dat het relatief trage updatetempo van Android een probleem wordt.

Vanaf Android 14 heeft de root store van Android echter wel kunnen worden bijgewerkt via Google Play. Android 14 heeft nu twee mappen met de root-store van het besturingssysteem: de eerder genoemde, onveranderlijke-outside-of-OTA /system/etc/security/cacerts locatie en de nieuwe, bij te werken /apex/com.[google].android.conscrypt/security/cacerts map. Dit laatste is opgenomen in de Conscrypt-module, een Project Mainline-module geïntroduceerd in Android 10 die de TLS-implementatie van Android biedt. Aangezien de Conscrypt-module kan worden bijgewerkt via Google Play System Updates, betekent dit dat de root-store van Android dat ook zal zijn.

Naast het updaten van de root-store van Android, voegt Android 14 ook enkele root-certificaten toe en verwijdert deze als onderdeel van Google's jaarlijkse update van de root-store van het systeem.

De rootcertificaten die zijn toegevoegd aan Android 14 zijn onder andere:

  1. AC RAIZ FNMT-RCM SERVIDORES SEGUROS
  2. ANF ​​Secure Server Root-CA
  3. Certificeringscertificaat Firmaprofesional CIF A62634068
  4. Zeker root E1
  5. Zeker root R1
  6. Certum EC-384 CA
  7. Certum vertrouwde root-CA
  8. D-TRUST BR Root CA 1 2020
  9. D-TRUST EV Root CA 1 2020
  10. DigiCert TLS ECC P384 Root G5
  11. DigiCert TLS RSA4096 Root G5
  12. GLOBALVERTROUWEN 2020
  13. GlobalSign-root E46
  14. GlobalSign-root R46
  15. HARICA TLS ECC Root CA 2021
  16. HARICA TLS RSA Root CA 2021
  17. HiPKI Root CA - G1
  18. ISRG-root X2
  19. Beveiligingscommunicatie ECC RootCA1
  20. Beveiligingscommunicatie RootCA3
  21. Telia Root CA v2
  22. Tugra Global Root CA ECC v3
  23. Tugra Global Root CA RSA v3
  24. TunTrust Root CA
  25. vTrus ECC Root-CA
  26. vTrus root-CA

De rootcertificaten die zijn verwijderd in Android 14 zijn onder andere:

  1. Kamer van Koophandel Root - 2008
  2. Wereldwijde basis van Cybertrust
  3. DST Root CA X3
  4. EG-ACC
  5. GeoTrust primaire certificeringsinstantie - G2
  6. Wereldwijd Chambersign Root 2008
  7. GlobalSign
  8. Helleense academische en onderzoeksinstellingen RootCA 2011
  9. Certificaatautoriteit voor netwerkoplossingen
  10. QuoVadis Root-certificeringsinstantie
  11. Sonera Klasse 2 CA
  12. Staat der Nederlanden EV Root CA
  13. Staat der Nederlanden Root CA - G3
  14. TrustCor ECA-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Trustis FPS Root CA
  18. VeriSign Universal Root-certificeringsinstantie

Voor een uitgebreidere uitleg over TLS-certificaten moet u mijn collega lezen Adam Conway's artikel hier. Voor een meer grondige analyse van hoe de updatebare root store van Android 14 werkt en waarom deze is ontstaan, ga je naar het artikel dat ik eerder schreef over het onderwerp.