Android 14 позволяет обновлять корневые сертификаты через Google Play, чтобы защитить пользователей от вредоносных центров сертификации.

МобильныйJul 20, 2023
click fraud protection

Раньше корневое хранилище Android требовало обновления OTA для добавления или удаления корневых сертификатов. В Android 14 такого не будет.

У Android есть небольшая проблема, которая поднимает свою уродливую голову только раз в голубую луну, но когда это происходит, это вызывает некоторую панику. К счастью, у Google есть решение в Android 14, которое устраняет эту проблему в зародыше. Проблема заключается в том, что корневое хранилище сертификатов системы Android (корневое хранилище) можно было обновлять только через беспроводное (OTA) обновление на протяжении большей части существования Android. Хотя OEM-производители и операторы связи стали лучше выпускать обновления быстрее и чаще, ситуация все еще может быть лучше. Вот почему Google разработал решение, позволяющее обновлять корневой магазин Android через Google Play, начиная с Андроид 14.

Когда вы выходите в Интернет каждый день, вы уверены, что программное обеспечение вашего устройства настроено правильно, чтобы указать вам правильные серверы, на которых размещены веб-сайты, которые вы хотите посетить. Установление правильного соединения важно, чтобы вы не оказались на сервере, принадлежащем кому-то с плохими намерениями, но безопасно установление этого соединения также важно, поэтому любые данные, которые вы отправляете на этот сервер, шифруются при передаче (TLS) и, надеюсь, не могут быть легко подсмотрел. Ваша ОС, веб-браузер и приложения будут устанавливать безопасные соединения с серверами в Интернете (HTTPS), только если они доверяют сертификату безопасности сервера (TLS).

Однако, поскольку в Интернете так много веб-сайтов, операционные системы, веб-браузеры и приложения не ведут список сертификатов безопасности каждого сайта, которым они доверяют. Вместо этого они смотрят, кто подписал сертификат безопасности, выданный сайту: был ли он подписан самостоятельно или подписан другим лицом (центром сертификации [CA]), которому они доверяют? Эта цепочка проверок может состоять из нескольких уровней, пока вы не достигнете корневого центра сертификации, который выдал безопасность. сертификат, используемый для подписи сертификата, который в конечном итоге подписал сертификат, выданный сайту, на котором вы находитесь. посещение.

Количество корневых ЦС намного, намного меньше, чем количество веб-сайтов, которым выданы сертификаты безопасности, либо напрямую, либо через один или несколько промежуточных ЦС, что позволяет операционным системам и веб-браузерам поддерживать список сертификатов корневого ЦС, которые они доверять. Android, например, имеет список доверенных корневых сертификатов, которые поставляются в доступном только для чтения системном разделе ОС по адресу /system/etc/security/cacerts. Если приложения не ограничить, каким сертификатам доверять, практику, называемую закреплением сертификата, то они по умолчанию используют корневое хранилище ОС при принятии решения о том, доверять ли сертификату безопасности. Поскольку системный раздел доступен только для чтения, корневое хранилище Android остается неизменным вне обновления ОС, что может создать проблему, когда Google захочет удалить или добавить новый корневой сертификат.

Иногда корневой сертификат скоро истечет, что может привести к нарушению работы сайтов и служб, а веб-браузеры будут выдавать предупреждения о небезопасных соединениях. В некоторых случаях ЦС, выдавший корневой сертификат, подозревается в злонамеренном или скомпрометированном. Или новый корневой сертификат возникает необходимость добавить себя в корневое хранилище каждой основной ОС, прежде чем ЦС сможет фактически начать подписывать сертификаты. Корневой магазин Android не нужно обновлять так часто, но этого достаточно, чтобы относительно медленный темп обновлений Android стал проблемой.

Однако, начиная с Android 14, корневой магазин Android стать обновляемым через Google Play. В Android 14 теперь есть два каталога, содержащие корневое хранилище ОС: вышеупомянутый неизменяемый за пределами OTA /system/etc/security/cacerts и новый обновляемый /apex/com.[google].android.conscrypt/security/cacerts. каталог. Последний содержится в модуле Conscrypt, модуле Project Mainline, представленном в Android 10, который обеспечивает реализацию TLS для Android. Поскольку модуль Conscrypt можно обновить с помощью обновлений системы Google Play, это означает, что корневое хранилище Android тоже будет.

Помимо возможности обновления корневого хранилища Android, Android 14 также добавляет и удаляет некоторые корневые сертификаты в рамках ежегодного обновления Google корневого хранилища системы.

Корневые сертификаты, которые были добавлены в Android 14, включают:

  1. AC RAIZ FNMT-RCM SERVIDORES SEGUROS
  2. Корневой ЦС безопасного сервера ANF
  3. Autoridad de Certificacion Firmaprofesional CIF A62634068
  4. Обязательно рут E1
  5. Обязательно рут R1
  6. Цертум EC-384 CA
  7. Доверенный корневой ЦС Certum
  8. D-TRUST BR Root CA 1 2020
  9. D-TRUST EV Root CA 1 2020
  10. DigiCert TLS ECC P384 Корень G5
  11. DigiCert TLS RSA4096 Корень G5
  12. ГЛОБАЛТРАСТ 2020
  13. GlobalSign Root E46
  14. ГлобалСигн Рут R46
  15. HARICA TLS ECC Root CA 2021
  16. HARICA TLS RSA Root CA 2021
  17. Корневой ЦС HiPKI — G1
  18. Корень ISRG X2
  19. Связь безопасности ECC RootCA1
  20. Связь безопасности RootCA3
  21. Telia Root CA v2
  22. Tugra Global Root CA ECC v3
  23. Tugra Global Root CA RSA v3
  24. Корневой ЦС TunTrust
  25. Корневой ЦС vTrus ECC
  26. Корневой ЦС vTrus

Корневые сертификаты, которые были удалены в Android 14, включают:

  1. Корень торговой палаты - 2008 г.
  2. Глобальный корень Cybertrust
  3. Корневой ЦС DST X3
  4. ЕС-АКК
  5. Основной центр сертификации GeoTrust — G2
  6. Глобальный корень Chambersign 2008
  7. ГлобалСигн
  8. Греческие академические и исследовательские институты RootCA 2011
  9. Центр сертификации сетевых решений
  10. Корневой центр сертификации QuoVadis
  11. Сонера Класс 2 CA
  12. Staat der Nederlanden EV Root CA
  13. Staat der Nederlanden Root CA - G3
  14. ТрастКор ЭКА-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Корневой ЦС Trustis FPS
  18. Универсальный корневой центр сертификации VeriSign

Для более подробного объяснения сертификатов TLS вы должны прочитать моего коллегу Статья Адама Конвея здесь. Для более тщательного анализа того, как работает обновляемое корневое хранилище Android 14 и почему оно появилось, ознакомьтесь с статья, которую я ранее написал на предмет.