Android 14 face ca certificatele rădăcină să fie actualizate prin Google Play pentru a proteja utilizatorii de CA rău intenționate

MobilJul 20, 2023

Magazinul rădăcină al Androidului solicita o actualizare OTA pentru a adăuga sau elimina certificate rădăcină. Nu va fi cazul în Android 14.

Android are o ușoară problemă care își ridică capul urât o dată la fiecare lună albastră, dar când o face, provoacă o oarecare panică. Din fericire, Google are o soluție în Android 14 care elimină din răsputeri această problemă. Problema este că depozitul de certificate rădăcină (magazinul rădăcină) al sistemului Android ar putea fi actualizat doar printr-o actualizare over-the-air (OTA) pentru cea mai mare parte a existenței Android. În timp ce OEM-urile și transportatorii s-au îmbunătățit în a transmite actualizări mai rapid și mai frecvent, lucrurile ar putea fi totuși mai bune. De aceea, Google a conceput o soluție pentru a face magazinul de rădăcină Android actualizabil prin Google Play, începând cu Android 14.

Când intrați online în fiecare zi, aveți încredere că software-ul dispozitivului dvs. este configurat corect pentru a vă direcționa către serverele potrivite care găzduiesc site-urile web pe care doriți să le vizitați. Stabilirea conexiunii corecte este importantă, astfel încât să nu ajungi pe un server deținut de cineva cu intenții rele, ci în siguranță stabilirea conexiunii este, de asemenea, importantă, astfel încât orice date pe care le trimiteți către acel server sunt criptate în tranzit (TLS) și, sperăm, nu pot fi ușor cotrofiat. Sistemul de operare, browserul web și aplicațiile dvs. vor stabili conexiuni sigure cu serverele de pe Internet (HTTPS), totuși, dacă au încredere în certificatul de securitate al serverului (TLS).

Deoarece există atât de multe site-uri web pe Internet, totuși, sistemele de operare, browserele web și aplicațiile nu mențin o listă cu certificatele de securitate ale fiecărui site în care au încredere. În schimb, ei caută să vadă cine a semnat certificatul de securitate emis site-ului: a fost autosemnat sau semnat de o altă entitate (o autoritate de certificare [CA]) în care au încredere? Acest lanț de validări poate avea mai multe straturi adânci până când ajungeți la o CA rădăcină care a emis securitatea certificat folosit pentru a semna certificatul care a semnat în cele din urmă certificatul emis către site-ul pe care îl ești in vizita.

Numărul de CA rădăcină este mult, mult mai mic decât numărul de site-uri web care au certificate de securitate emise de acestea, fie direct, fie printr-unul sau mai multe CA intermediare, făcând astfel posibil ca sistemele de operare și browserele web să mențină o listă de certificate CA rădăcină pe care le-au încredere. Android, de exemplu, are o listă de certificate rădăcină de încredere care sunt livrate în partiția de sistem numai în citire a sistemului de operare la /system/etc/security/cacerts. Dacă aplicațiile nu limitați în ce certificate aveți încredere, o practică numită fixarea certificatelor, apoi folosesc implicit depozitul rădăcină al sistemului de operare atunci când decid dacă să aibă încredere într-un certificat de securitate. Deoarece partiția „de sistem” este doar pentru citire, magazinul rădăcină al Android este imuabil în afara unei actualizări a sistemului de operare, ceea ce poate reprezenta o problemă atunci când Google dorește să elimine sau să adauge un nou certificat rădăcină.

Uneori, un certificat rădăcină este pe cale să expire, ceea ce poate duce la întreruperea site-urilor și a serviciilor, iar browserele web lansează avertismente despre conexiunile nesigure. În unele cazuri, CA care a emis un certificat rădăcină este suspectate a fi rău intenționate sau compromise. Sau a certificat rădăcină nou apar care trebuie adăugate în depozitul rădăcină al fiecărui sistem de operare major înainte ca CA să poată începe efectiv să semneze certificate. Magazinul rădăcină al Android nu trebuie să fie actualizat atât de des, dar se întâmplă suficient ca ritmul relativ lent al actualizărilor Android să devină o problemă.

Începând cu Android 14, totuși, magazinul de rădăcină Android are devin actualizabile prin Google Play. Android 14 are acum două directoare care conțin magazinul rădăcină al sistemului de operare: menționat mai sus, imuabil în afara OTA locația /system/etc/security/cacerts și noul /apex/com.[google].android.conscrypt/security/cacerts nou, actualizabil director. Acesta din urmă este conținut în modulul Conscrypt, un modul Project Mainline introdus în Android 10 care oferă implementarea TLS pentru Android. Deoarece modulul Conscrypt poate fi actualizat prin Actualizările sistemului Google Play, asta înseamnă că magazinul rădăcină al Android va fi și el.

Pe lângă faptul că magazinul rădăcină al Androidului poate fi actualizat, Android 14 adaugă și elimină și unele certificate rădăcină ca parte a actualizării anuale a Google pentru magazinul rădăcină a sistemului.

Certificatele rădăcină care au fost adăugate la Android 14 includ:

  1. AC RAIZ FNMT-RCM SERVIDORES SEGUROS
  2. ANF ​​Secure Server Root CA
  3. Autoridad de Certificacion Firmaprofesional CIF A62634068
  4. Cu siguranță Root E1
  5. Cu siguranță Root R1
  6. Certum EC-384 CA
  7. Certum Trusted Root CA
  8. D-TRUST BR Root CA 1 2020
  9. D-TRUST EV Root CA 1 2020
  10. DigiCert TLS ECC P384 Root G5
  11. DigiCert TLS RSA4096 Root G5
  12. GLOBALTRUST 2020
  13. GlobalSign Root E46
  14. GlobalSign Root R46
  15. HARICA TLS ECC Root CA 2021
  16. HARICA TLS RSA Root CA 2021
  17. HiPKI Root CA - G1
  18. ISRG Root X2
  19. Comunicare de securitate ECC RootCA1
  20. Securitate Comunicare RootCA3
  21. Telia Root CA v2
  22. Tugra Global Root CA ECC v3
  23. Tugra Global Root CA RSA v3
  24. TunTrust Root CA
  25. vTrus ECC Root CA
  26. vTrus Root CA

Certificatele rădăcină care au fost eliminate în Android 14 includ:

  1. Rădăcina Camerelor de Comerț - 2008
  2. Cybertrust Global Root
  3. DST Root CA X3
  4. EC-ACC
  5. Autoritatea de certificare primară GeoTrust - G2
  6. Global Chambersign Root 2008
  7. GlobalSign
  8. Instituțiile Academice și de Cercetare Elene RootCA 2011
  9. Autoritatea de certificare pentru soluții de rețea
  10. Autoritatea de certificare rădăcină QuoVadis
  11. Sonera Class2 CA
  12. Staat der Nederlanden EV Root CA
  13. Staat der Nederlanden Root CA - G3
  14. TrustCor ECA-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Trustis FPS Root CA
  18. VeriSign Universal Root Certification Authority

Pentru o explicație mai aprofundată a certificatelor TLS, ar trebui să-l citiți pe colegul meu Articolul lui Adam Conway aici. Pentru o analiză mai amănunțită a modului în care funcționează magazinul rădăcină actualizabil al Android 14 și de ce a apărut, consultați articolul pe care l-am scris anterior la subiect.