Android 14 umožňuje aktualizovať koreňové certifikáty cez Google Play, aby chránili používateľov pred škodlivými CA

Koreňový obchod systému Android si vyžadoval aktualizáciu OTA na pridanie alebo odstránenie koreňových certifikátov. V systéme Android 14 to tak nebude.

Android má malý problém, že len raz za modrý mesiac zdvihne svoju škaredú hlavu, ale keď sa to stane, spôsobí to paniku. Našťastie má Google v systéme Android 14 riešenie, ktoré tento problém odstraňuje hneď v zárodku. Problém je v tom, že úložisko koreňových certifikátov systému Android (koreňový obchod) bolo možné počas väčšiny existencie systému Android aktualizovať iba prostredníctvom aktualizácie OTA (over-the-air). Aj keď sa výrobcovia OEM a operátori zlepšili v rýchlejšom a častejšom vydávaní aktualizácií, stále by to mohlo byť lepšie. To je dôvod, prečo spoločnosť Google vymyslela riešenie, vďaka ktorému bude možné aktualizovať koreňový obchod systému Android prostredníctvom služby Google Play Android 14.

Keď ste každý deň online, veríte, že softvér vášho zariadenia je správne nakonfigurovaný tak, aby vás nasmeroval na správne servery hosťujúce webové stránky, ktoré chcete navštíviť. Nadviazanie správneho pripojenia je dôležité, aby ste neskončili na serveri, ktorý vlastní niekto so zlými úmyslami, ale bezpečne vytvorenie tohto pripojenia je tiež dôležité, takže všetky údaje, ktoré odošlete na tento server, sú šifrované počas prenosu (TLS) a dúfajme, že ich nebude možné ľahko šmíroval. Váš operačný systém, webový prehliadač a aplikácie vytvoria zabezpečené spojenia so servermi na internete (HTTPS), iba ak budú dôverovať bezpečnostnému certifikátu servera (TLS).

Keďže je na internete toľko webových stránok, operačné systémy, webové prehliadače a aplikácie neudržiavajú zoznam bezpečnostných certifikátov každého webu, ktorému dôverujú. Namiesto toho sa pozerajú, kto podpísal bezpečnostný certifikát vydaný pre stránku: Bol to vlastnoručný podpis alebo iný subjekt (certifikačná autorita [CA]), ktorému dôverujú? Tento reťazec overení môže mať niekoľko vrstiev, kým nedosiahnete koreňovú CA, ktorá vydala zabezpečenie certifikát používaný na podpísanie certifikátu, ktorý nakoniec podpísal certifikát vydaný pre web, na ktorom sa nachádzate na návšteve.

Počet koreňových certifikačných autorít je oveľa, oveľa menší ako počet webových stránok, ktoré majú nimi vydané bezpečnostné certifikáty, či už priamo alebo prostredníctvom jednej alebo viacerých sprostredkovateľských certifikačných autorít, čím je možné pre operačné systémy a webové prehliadače udržiavať zoznam koreňových certifikátov certifikačnej autority, ktoré dôverovať. Android má napríklad zoznam dôveryhodných koreňových certifikátov, ktoré sa dodávajú v systémovej oblasti operačného systému iba na čítanie na adrese /system/etc/security/cacerts. Ak aplikácie nie obmedziť, ktorým certifikátom dôverovať, postup nazývaný pripínanie certifikátov, potom pri rozhodovaní, či dôverovať bezpečnostnému certifikátu, predvolene použijú koreňový ukladací priestor OS. Keďže „systémový“ oddiel je len na čítanie, koreňový ukladací priestor systému Android je nemenný mimo aktualizácie operačného systému, čo môže predstavovať problém, keď chce Google odstrániť alebo pridať nový koreňový certifikát.

Niekedy je to koreňový certifikát čoskoro vyprší, čo môže viesť k prerušeniu stránok a služieb a k tomu, že webové prehliadače budú zobrazovať upozornenia na nezabezpečené pripojenia. V niektorých prípadoch je to CA, ktorá vydala koreňový certifikát podozrivé zo zlomyseľnosti alebo kompromitácie. Alebo a nový koreňový certifikát sa objaví, ktorý sa musí pridať do koreňového úložiska každého hlavného operačného systému predtým, ako môže certifikačná autorita skutočne začať podpisovať certifikáty. Koreňový obchod systému Android sa nemusí aktualizovať tak často, ale stáva sa dosť, že relatívne pomalé tempo aktualizácií systému Android sa stáva problémom.

Počnúc systémom Android 14 má však koreňový obchod systému Android bude možné aktualizovať prostredníctvom služby Google Play. Android 14 má teraz dva adresáre obsahujúce koreňový obchod OS: vyššie uvedený, nemenný-mimo-OTA /system/etc/security/cacerts umiestnenie a nové, aktualizovať /apex/com.[google].android.conscrypt/security/cacerts adresár. Ten je súčasťou modulu Conscrypt, modulu Project Mainline predstaveného v systéme Android 10, ktorý poskytuje implementáciu TLS systému Android. Keďže modul Conscrypt je možné aktualizovať prostredníctvom aktualizácií systému Google Play, znamená to, že bude k dispozícii aj koreňový obchod systému Android.

Okrem toho, že je možné aktualizovať koreňový ukladací priestor systému Android, systém Android 14 tiež pridáva a odstraňuje niektoré koreňové certifikáty v rámci ročnej aktualizácie od spoločnosti Google do koreňového úložiska systému.

Koreňové certifikáty, ktoré boli pridané do systému Android 14, zahŕňajú:

  1. AC RAIZ FNMT-RCM SERVIDORES SEGUROS
  2. ANF ​​Secure Server Root CA
  3. Certifikačný certifikát Firmaprofesional CIF A62634068
  4. Určite koreň E1
  5. Určite Root R1
  6. Certum EC-384 CA
  7. Certum Trusted Root CA
  8. D-TRUST BR Root CA 1 2020
  9. D-TRUST EV Root CA 1 2020
  10. DigiCert TLS ECC P384 Root G5
  11. DigiCert TLS RSA4096 Root G5
  12. GLOBALTRUST 2020
  13. GlobalSign Root E46
  14. GlobalSign Root R46
  15. HARICA TLS ECC Root CA 2021
  16. HARICA TLS RSA Root CA 2021
  17. HiPKI Root CA - G1
  18. ISRG Root X2
  19. Bezpečnostná komunikácia ECC RootCA1
  20. Bezpečnostná komunikácia RootCA3
  21. Telia Root CA v2
  22. Tugra Global Root CA ECC v3
  23. Tugra Global Root CA RSA v3
  24. TunTrust Root CA
  25. vTrus ECC Root CA
  26. vTrus Root CA

Koreňové certifikáty, ktoré boli odstránené v systéme Android 14, zahŕňajú:

  1. Koreň obchodných komôr – 2008
  2. Cybertrust Global Root
  3. DST Root CA X3
  4. EC-ACC
  5. Primárna certifikačná autorita GeoTrust - G2
  6. Global Chambersign Root 2008
  7. GlobalSign
  8. Helénské akademické a výskumné inštitúcie RootCA 2011
  9. Certifikačná autorita sieťových riešení
  10. Koreňová certifikačná autorita QuoVadis
  11. Sonera Class2 CA
  12. Staat der Nederlanden EV Root CA
  13. Staat der Nederlanden Root CA - G3
  14. TrustCor ECA-1
  15. TrustCor RootCert CA-1
  16. TrustCor RootCert CA-2
  17. Trustis FPS Root CA
  18. VeriSign Universal Root Certification Authority

Pre podrobnejšie vysvetlenie certifikátov TLS by ste si mali prečítať môjho kolegu Článok Adama Conwaya tu. Ak chcete dôkladnejšie analyzovať, ako funguje koreňový obchod s možnosťou aktualizácie systému Android 14 a prečo vznikol, pozrite sa článok, ktorý som napísal predtým na tému.