Android 14 umożliwia aktualizację certyfikatów głównych przez Google Play, aby chronić użytkowników przed złośliwymi urzędami certyfikacji

MobilnyJul 20, 2023

Główny magazyn Androida wymagał aktualizacji OTA w celu dodania lub usunięcia certyfikatów głównych. W Androidzie 14 tak nie będzie.

Android ma niewielki problem, który podnosi swoją brzydką głowę tylko raz na niebieski księżyc, ale kiedy to robi, wywołuje panikę. Na szczęście Google ma rozwiązanie w Androidzie 14, które eliminuje ten problem w zarodku. Problem polega na tym, że główny magazyn certyfikatów systemu Android (magazyn główny) mógł być aktualizowany tylko przez aktualizację bezprzewodową (OTA) przez większość istnienia Androida. Chociaż producenci OEM i przewoźnicy stali się lepsi w szybszym i częstszym wypychaniu aktualizacji, wciąż może być lepiej. Właśnie dlatego Google opracował rozwiązanie umożliwiające aktualizowanie sklepu głównego Androida za pośrednictwem Google Play, począwszy od Androida 14.

Kiedy codziennie korzystasz z Internetu, ufasz, że oprogramowanie Twojego urządzenia jest odpowiednio skonfigurowane i wskazuje właściwe serwery, na których znajdują się strony internetowe, które chcesz odwiedzić. Nawiązanie właściwego połączenia jest ważne, aby nie trafić na serwer należący do kogoś o złych intencjach, ale bezpiecznie ustanowienie tego połączenia jest również ważne, więc wszelkie dane wysyłane na ten serwer są szyfrowane podczas przesyłania (TLS) i miejmy nadzieję, że nie będzie ich łatwo węszył. Twój system operacyjny, przeglądarka internetowa i aplikacje będą jednak nawiązywać bezpieczne połączenia z serwerami w Internecie (HTTPS), jeśli ufają certyfikatowi bezpieczeństwa serwera (TLS).

Ponieważ jednak w Internecie jest tak wiele stron internetowych, systemy operacyjne, przeglądarki internetowe i aplikacje nie przechowują listy certyfikatów bezpieczeństwa każdej witryny, którym ufają. Zamiast tego sprawdzają, kto podpisał certyfikat bezpieczeństwa wystawiony dla witryny: czy był to podpis własny, czy podpisany przez inny podmiot (urząd certyfikacji [CA]), któremu ufają? Ten łańcuch sprawdzania poprawności może obejmować kilka warstw, aż do głównego urzędu certyfikacji, który wydał zabezpieczenie certyfikat używany do podpisania certyfikatu, który ostatecznie podpisał certyfikat wystawiony dla odwiedzanej witryny przyjezdny.

Liczba głównych urzędów certyfikacji jest znacznie, znacznie mniejsza niż liczba witryn, które mają wydane przez nie certyfikaty bezpieczeństwa, bezpośrednio lub przez jeden lub więcej pośredniczących urzędów certyfikacji, umożliwiając w ten sposób systemom operacyjnym i przeglądarkom internetowym utrzymywanie listy certyfikatów głównych urzędów certyfikacji, które zaufanie. Na przykład Android ma listę zaufanych certyfikatów głównych, które są dostarczane na partycji systemowej systemu operacyjnego tylko do odczytu w /system/etc/security/cacerts. Jeśli aplikacje nie ograniczyć, którym certyfikatom ufać, praktykę zwaną przypinaniem certyfikatów, wtedy domyślnie korzystają z magazynu głównego systemu operacyjnego przy podejmowaniu decyzji, czy zaufać certyfikatowi bezpieczeństwa. Ponieważ partycja „systemowa” jest tylko do odczytu, główny magazyn Androida jest niezmienny poza aktualizacją systemu operacyjnego, co może stanowić problem, gdy Google chce usunąć lub dodać nowy certyfikat główny.

Czasami certyfikat główny jest niedługo wygaśnie, co może prowadzić do awarii witryn i usług oraz wyświetlania przez przeglądarki ostrzeżeń o niezabezpieczonych połączeniach. W niektórych przypadkach urząd certyfikacji, który wystawił certyfikat główny, to podejrzewa się, że są złośliwe lub naruszone. lub nowy certyfikat główny pojawia się komunikat, który musi zostać dodany do głównego magazynu każdego głównego systemu operacyjnego, zanim urząd certyfikacji będzie mógł faktycznie rozpocząć podpisywanie certyfikatów. Sklep główny Androida nie musi być tak często aktualizowany, ale zdarza się na tyle, że stosunkowo wolne tempo aktualizacji Androida staje się problemem.

Jednak począwszy od Androida 14, sklep główny Androida ma można aktualizować za pośrednictwem Google Play. Android 14 ma teraz dwa katalogi zawierające główny magazyn systemu operacyjnego: wspomniany wyżej niezmienny-poza-OTA /system/etc/security/cacerts lokalizacja i nowy, aktualizowalny /apex/com.[google].android.conscrypt/security/cacerts informator. Ten ostatni jest zawarty w module Conscrypt, module Project Mainline wprowadzonym w Androidzie 10, który zapewnia implementację TLS Androida. Ponieważ moduł Conscrypt można aktualizować za pomocą Aktualizacji systemu Google Play, oznacza to, że główny sklep Androida też będzie.

Oprócz możliwości aktualizacji magazynu głównego systemu Android, system Android 14 dodaje i usuwa niektóre certyfikaty główne w ramach corocznej aktualizacji Google do systemu głównego magazynu.

Certyfikaty główne, które zostały dodane do Androida 14, obejmują:

  1. AC RAIZ FNMT-RCM SERVIDORES SEGUROS
  2. Bezpieczny główny urząd certyfikacji serwera ANF
  3. Autoridad de Certificacion Firmaprofesional CIF A62634068
  4. Oczywiście root E1
  5. Na pewno Root R1
  6. Certum EC-384 CA
  7. Zaufany główny urząd certyfikacji Certum
  8. D-TRUST BR Root CA 1 2020
  9. D-TRUST EV Root CA 1 2020
  10. DigiCert TLS ECC P384 Root G5
  11. DigiCert TLS RSA4096 Root G5
  12. GLOBALTUST 2020
  13. GlobalSign Root E46
  14. GlobalSign Root R46
  15. HARICA TLS ECC Root CA 2021
  16. HARICA TLS RSA Root CA 2021
  17. Główny urząd certyfikacji HiPKI — G1
  18. ISRG Root X2
  19. Komunikacja bezpieczeństwa ECC RootCA1
  20. Komunikacja bezpieczeństwa RootCA3
  21. Telia Root CA v2
  22. Tugra Global Root CA ECC v3
  23. Tugra Global Root CA RSA v3
  24. Główny urząd certyfikacji TunTrust
  25. Główny urząd certyfikacji vTrus ECC
  26. Główny urząd certyfikacji vTrus

Certyfikaty główne, które zostały usunięte w systemie Android 14, obejmują:

  1. Izby Handlowe Korzeń - 2008
  2. Globalny korzeń Cybertrust
  3. Główny urząd certyfikacji DST X3
  4. EC-ACC
  5. Główny urząd certyfikacji GeoTrust — G2
  6. Global Chambersign Root 2008
  7. GlobalSign
  8. Greckie instytucje akademickie i badawcze RootCA 2011
  9. Urząd certyfikacji rozwiązań sieciowych
  10. Główny urząd certyfikacji QuoVadis
  11. Sonera Class2 CA
  12. Staat der Nederlanden EV Root CA
  13. Staat der Nederlanden Root CA - G3
  14. TrustCor ECA-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Główny urząd certyfikacji Trustis FPS
  18. Uniwersalny główny urząd certyfikacji VeriSign

Aby uzyskać bardziej szczegółowe wyjaśnienie certyfikatów TLS, powinieneś przeczytać mojego kolegę Artykuł Adama Conwaya tutaj. Aby uzyskać dokładniejszą analizę tego, jak działa aktualizowalny sklep główny Androida 14 i dlaczego tak się stało, sprawdź artykuł, który napisałam wcześniej w temacie.