Korenska trgovina Android je prej zahtevala posodobitev OTA za dodajanje ali odstranjevanje korenskih potrdil. V Androidu 14 temu ne bo tako.
Android ima majhno težavo, ki dvigne svojo grdo glavo samo enkrat na modro luno, ko pa se pojavi, povzroči nekaj panike. Na srečo ima Google v sistemu Android 14 rešitev, ki to težavo odpravi v kali. Težava je v tem, da je bilo shrambo korenskih potrdil sistema Android (korensko shrambo) mogoče posodobiti samo s posodobitvijo po zraku (OTA) večino obstoja Androida. Čeprav so proizvajalci originalne opreme in operaterji postali boljši pri hitrejšem in pogostejšem izrinjanju posodobitev, bi lahko bile stvari še vedno boljše. Zato je Google zasnoval rešitev, s katero bo korensko trgovino Androida posodobil prek storitve Google Play, od leta Android 14.
Ko ste vsak dan v spletu, verjamete, da je programska oprema vaše naprave pravilno konfigurirana, da vas usmeri na prave strežnike, ki gostijo spletna mesta, ki jih želite obiskati. Vzpostavitev prave povezave je pomembna, da ne končate na strežniku, ki je v lasti nekoga s slabimi nameni, vendar varno vzpostavitev te povezave je prav tako pomembna, zato so vsi podatki, ki jih pošljete na ta strežnik, med prenosom šifrirani (TLS) in upajmo, da jih ni mogoče preprosto vohljal naprej. Vaš operacijski sistem, spletni brskalnik in aplikacije bodo vzpostavili varne povezave s strežniki v internetu (HTTPS) le, če zaupajo varnostnemu potrdilu strežnika (TLS).
Ker pa je v internetu tako veliko spletnih mest, operacijski sistemi, spletni brskalniki in aplikacije ne vzdržujejo seznama varnostnih potrdil za vsako spletno mesto, ki mu zaupajo. Namesto tega iščejo, kdo je podpisal varnostno potrdilo, izdano spletnemu mestu: ali je bilo samopodpisano ali ga je podpisal drug subjekt (certifikacijski organ [CA]), ki mu zaupajo? Ta veriga preverjanj je lahko globoka več plasti, dokler ne dosežete korenskega CA, ki je izdal varnost potrdilo, ki se uporablja za podpis potrdila, ki je na koncu podpisalo potrdilo, izdano spletnemu mestu, na katerem ste na obisku.
Število korenskih CA je veliko, veliko manjše od števila spletnih mest, ki imajo varnostne certifikate, izdane s strani njih, bodisi neposredno oz. prek enega ali več posredniških CA-jev, kar omogoča operacijskim sistemom in spletnim brskalnikom, da vzdržujejo seznam korenskih CA-jev, ki jih zaupanje. Android ima na primer seznam zaupanja vrednih korenskih potrdil, ki so poslani v sistemski particiji OS samo za branje na /system/etc/security/cacerts. Če aplikacije ne omejite, katerim certifikatom zaupati, prakso, imenovano pripenjanje potrdila, potem privzeto uporabijo korensko shrambo OS, ko se odločajo, ali bodo zaupali varnostnemu potrdilu. Ker je »sistemska« particija samo za branje, je Androidova korenska shramba nespremenljiva zunaj posodobitve OS, kar lahko predstavlja težavo, ko Google želi odstraniti ali dodati novo korensko potrdilo.
Včasih je korensko potrdilo tik pred iztekom, kar lahko povzroči zlom spletnih mest in storitev, spletni brskalniki pa prikažejo opozorila o nevarnih povezavah. V nekaterih primerih je CA, ki je izdala korensko potrdilo sumi, da je zlonamerna ali ogrožena. ali a novo korensko potrdilo pojavi, ki se mora dodati v korensko shrambo vsakega glavnega operacijskega sistema, preden lahko CA dejansko začne podpisovati potrdila. Androidove korenske shrambe ni treba tako pogosto posodabljati, vendar se zgodi dovolj, da razmeroma počasno posodabljanje Androida postane težava.
Začenši z Androidom 14 pa ima Androidova korenska trgovina jih je mogoče posodobiti prek Google Play. Android 14 ima zdaj dva imenika, ki vsebujeta korensko shrambo operacijskega sistema: prej omenjeni, immutable-outside-of-OTA /system/etc/security/cacerts lokacija in novi /apex/com.[google].android.conscrypt/security/cacerts imenik. Slednji je vsebovan v modulu Conscrypt, modulu Project Mainline, predstavljenem v sistemu Android 10, ki zagotavlja implementacijo TLS za Android. Ker je modul Conscrypt mogoče posodobiti prek sistemskih posodobitev Google Play, to pomeni, da bo tudi Androidova korenska trgovina.
Poleg tega, da omogoča posodobitev korenske shrambe Android, Android 14 dodaja in odstranjuje tudi nekatera korenska potrdila kot del Googlove letne posodobitve korenske shrambe sistema.
Korenska potrdila, ki so bila dodana sistemu Android 14, vključujejo:
- AC RAIZ FNMT-RCM SERVIDORES SEGUROS
- ANF Secure Server Root CA
- Certifikacijska avtoriteta CIF A62634068 Firmaprofesional
- Vsekakor Root E1
- Vsekakor Root R1
- Certum EC-384 CA
- Certum Trusted Root CA
- D-TRUST BR Root CA 1 2020
- D-TRUST EV Root CA 1 2020
- DigiCert TLS ECC P384 Root G5
- DigiCert TLS RSA4096 Root G5
- GLOBALTRUST 2020
- GlobalSign Root E46
- GlobalSign Root R46
- HARICA TLS ECC Root CA 2021
- HARICA TLS RSA Root CA 2021
- HiPKI Root CA - G1
- Koren ISRG X2
- Varnostna komunikacija ECC RootCA1
- Varnostna komunikacija RootCA3
- Telia Root CA v2
- Tugra Global Root CA ECC v3
- Tugra Global Root CA RSA v3
- TunTrust Root CA
- vTrus ECC Root CA
- vTrus Root CA
Korenska potrdila, ki so bila odstranjena v sistemu Android 14, vključujejo:
- Gospodarske zbornice Root - 2008
- Cybertrust Global Root
- DST Root CA X3
- EC-ACC
- Primarni certifikacijski organ GeoTrust - G2
- Global Chambersign Root 2008
- GlobalSign
- Hellenic Academic and Research Institutions RootCA 2011
- Overitelj potrdil za omrežne rešitve
- Korenski certifikacijski organ QuoVadis
- Sonera Class2 CA
- Staat der Nederlanden EV Root CA
- Staat der Nederlanden Root CA - G3
- TrustCor ECA-1
- TrustCor RootCert CA-1
- TrustCor RootCert CA-2
- Trustis FPS Root CA
- VeriSign Universal Root Certification Authority
Za bolj poglobljeno razlago TLS certifikatov si preberite mojega kolega Članek Adama Conwaya tukaj. Za podrobnejšo analizo delovanja posodobitvene korenske trgovine Android 14 in zakaj je nastala, si oglejte članek, ki sem ga prej napisal na temo.