Android 14 gjør rotsertifikater oppdaterbare via Google Play for å beskytte brukere mot ondsinnede CAer

Androids rotlager pleide å kreve en OTA-oppdatering for å legge til eller fjerne rotsertifikater. Det vil ikke være tilfelle i Android 14.

Android har et lite problem som bare reiser det stygge hodet en gang hver blåmåne, men når det gjør det, forårsaker det litt panikk. Heldigvis har Google en løsning i Android 14 som stopper dette problemet. Problemet er at Android-systemets rotsertifikatlager (rotlager) kun kunne oppdateres via en over-the-air (OTA) oppdatering for det meste av Androids eksistens. Mens OEM-er og transportører har blitt bedre til å presse ut oppdateringer raskere og oftere, kan ting fortsatt være bedre. Det er derfor Google har utviklet en løsning for å gjøre Androids rotbutikk oppdaterbar via Google Play, fra og med Android 14.

Når du går online hver dag, stoler du på at enhetens programvare er riktig konfigurert for å peke deg til de riktige serverne som er vert for nettsidene du vil besøke. Å etablere den riktige tilkoblingen er viktig slik at du ikke havner på en server som eies av noen med dårlige intensjoner, men sikkert å etablere den forbindelsen er også viktig, så all data du sender til den serveren er kryptert under overføring (TLS) og forhåpentligvis ikke lett snoket på. OS, nettleser og apper vil imidlertid bare opprette sikre tilkoblinger med servere på Internett (HTTPS), hvis de stoler på serverens (TLS) sikkerhetssertifikat.

Siden det er så, så mange nettsteder på Internett, opprettholder ikke operativsystemer, nettlesere og apper en liste over hvert nettsteds sikkerhetssertifikat som de stoler på. I stedet ser de for å se hvem som signerte sikkerhetssertifikatet som ble utstedt til nettstedet: Var det selvsignert eller signert av en annen enhet (en sertifiseringsinstans [CA]) de stoler på? Denne kjeden av valideringer kan være flere lag dype til du når en rot-CA som utstedte sikkerheten sertifikatet som brukes til å signere sertifikatet som til slutt signerte sertifikatet som ble utstedt til nettstedet du er besøker.

Antall rot-CAer er mye, mye mindre enn antall nettsteder som har sikkerhetssertifikater utstedt av dem, enten direkte eller gjennom en eller flere mellomliggende CA-er, og dermed gjøre det mulig for OSer og nettlesere å opprettholde en liste over rot-CA-sertifikater som de tillit. Android, for eksempel, har en liste over pålitelige rotsertifikater som sendes i operativsystemets skrivebeskyttede systempartisjon på /system/etc/security/cacerts. Hvis apper ikke gjør det begrense hvilke sertifikater du kan stole på, en praksis som kalles sertifikatfesting, så bruker de som standard operativsystemets rotlager når de bestemmer seg for om de skal stole på et sikkerhetssertifikat. Siden "system"-partisjonen er skrivebeskyttet, er Androids rotlager uforanderlig utenfor en OS-oppdatering, noe som kan utgjøre et problem når Google vil fjerne eller legge til et nytt rotsertifikat.

Noen ganger er et rotsertifikat i ferd med å utløpe, som potensielt kan føre til at nettsteder og tjenester går i stykker og at nettlesere sender opp advarsler om usikre tilkoblinger. I noen tilfeller er CA som utstedte et rotsertifikat mistenkes å være ondsinnet eller kompromittert. Eller a nytt rotsertifikat dukker opp som må legges til alle større OSs rotlager før CA faktisk kan begynne å signere sertifikater. Androids rotbutikk trenger ikke å oppdateres så ofte, men det skjer nok til at Androids relativt langsomme oppdateringshastighet blir et problem.

Fra og med Android 14 har imidlertid Androids rotbutikk kan oppdateres via Google Play. Android 14 har nå to kataloger som inneholder operativsystemets rotlager: den nevnte, uforanderlige-utenfor-OTA /system/etc/security/cacerts plassering og den nye, oppdaterbare /apex/com.[google].android.conscrypt/security/cacerts katalog. Sistnevnte er inneholdt i Conscrypt-modulen, en Project Mainline-modul introdusert i Android 10 som gir Androids TLS-implementering. Siden Conscrypt-modulen kan oppdateres gjennom Google Play-systemoppdateringer, betyr det at Androids rotbutikk også vil være det.

Bortsett fra å gjøre Androids rotbutikk oppdaterbar, legger Android 14 også til og fjerner noen rotsertifikater som en del av Googles årlige oppdatering til systemrotbutikken.

Rotsertifikatene som er lagt til Android 14 inkluderer:

  1. AC RAIZ FNMT-RCM SERVIDORES SEGUROS
  2. ANF ​​Secure Server Root CA
  3. Autoridad de Certificacion Firmaprofesional CIF A62634068
  4. Absolutt Root E1
  5. Absolutt Root R1
  6. Certum EC-384 CA
  7. Certum Trusted Root CA
  8. D-TRUST BR Root CA 1 2020
  9. D-TRUST EV Root CA 1 2020
  10. DigiCert TLS ECC P384 Root G5
  11. DigiCert TLS RSA4096 Root G5
  12. GLOBALTRUST 2020
  13. GlobalSign Root E46
  14. GlobalSign R46
  15. HARICA TLS ECC Root CA 2021
  16. HARICA TLS RSA Root CA 2021
  17. HiPKI Root CA - G1
  18. ISRG Root X2
  19. Sikkerhetskommunikasjon ECC RootCA1
  20. Sikkerhetskommunikasjon RootCA3
  21. Telia Root CA v2
  22. Tugra Global Root CA ECC v3
  23. Tugra Global Root CA RSA v3
  24. TunTrust Root CA
  25. vTrus ECC Root CA
  26. vTrus Root CA

Rotsertifikatene som er fjernet i Android 14 inkluderer:

  1. Chambers of Commerce Root - 2008
  2. Cybertrust Global Root
  3. DST Root CA X3
  4. EC-ACC
  5. GeoTrust Primary Certification Authority - G2
  6. Global Chambersign Root 2008
  7. GlobalSign
  8. Hellenic Academic and Research Institutes RootCA 2011
  9. Network Solutions Certificate Authority
  10. QuoVadis Root Certification Authority
  11. Sonera Class2 CA
  12. Staat der Nederlanden EV Root CA
  13. Staat der Nederlanden Root CA - G3
  14. TrustCor ECA-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Trustis FPS Root CA
  18. VeriSign Universal Root Certification Authority

For en mer utdypende forklaring av TLS-sertifikater bør du lese min kollega Adam Conways artikkel her. For en mer grundig analyse av hvordan Android 14s oppdaterbare rotbutikk fungerer og hvorfor den ble til, sjekk ut artikkelen jeg skrev tidligere på emnet.