Андроид 14 омогућава ажурирање роот сертификата преко Гоогле Плаи-а како би заштитио кориснике од злонамерних ЦА

Андроид-ова основна продавница је захтевала ОТА ажурирање за додавање или уклањање коренских сертификата. То неће бити случај у Андроиду 14.

Андроид има мали проблем који подиже своју ружну главу само једном на сваки плави месец, али када се то догоди, изазива панику. На срећу, Гоогле има решење у Андроиду 14 које уклања овај проблем у корену. Проблем је у томе што се основна продавница сертификата Андроид система (роот ​​продавница) може ажурирати само путем бежичног ажурирања (ОТА) током већег дела постојања Андроид-а. Иако су ОЕМ произвођачи и оператери постали бољи у бржем и чешћем објављивању ажурирања, ствари би и даље могле бити боље. Због тога је Гоогле осмислио решење како би Андроид-ову основну продавницу омогућило ажурирање преко Гоогле Плаи-а, почевши од Андроид 14.

Када свакодневно идете на мрежу, верујете да је софтвер вашег уређаја исправно конфигурисан да вас усмери на праве сервере који хостују веб локације које желите да посетите. Успостављање праве везе је важно како не бисте завршили на серверу у власништву некога са лошим намерама, али безбедно успостављање те везе је такође важно, тако да су сви подаци које пошаљете том серверу шифровани у транзиту (ТЛС) и надамо се да неће бити лако њушкао. Ваш ОС, веб прегледач и апликације ће успоставити безбедне везе са серверима на Интернету (ХТТПС), међутим, ако верују у безбедносни сертификат сервера (ТЛС).

Пошто их има, толико веб локација на Интернету, међутим, оперативни системи, веб прегледачи и апликације не одржавају листу безбедносних сертификата сваке локације у које верују. Уместо тога, они траже да виде ко је потписао безбедносни сертификат издат сајту: Да ли га је самопотписао или потписао други ентитет (ауторитет сертификата [ЦА]) коме верују? Овај ланац валидације може бити дубок неколико слојева док не дођете до основног ЦА који је издао сигурност сертификат који се користи за потписивање сертификата који је на крају потписао сертификат издат веб локацији на којој се налазите посећујући.

Број основних ЦА је много, много мањи од броја веб локација које имају безбедносне сертификате које су издали, било директно или преко једног или више посредничких ЦА, што чини изводљивим оперативним системима и веб прегледачима да одржавају листу основних ЦА сертификата које они поверење. Андроид, на пример, има листу поузданих коренских сертификата који се испоручују у системској партицији ОС-а само за читање на /систем/етц/сецурити/цацертс. Ако апликације не раде ограничите којим сертификатима треба веровати, пракса која се зове закачење сертификата, онда подразумевано користе основно складиште ОС-а када одлучују да ли да верују безбедносном сертификату. Пошто је „системска“ партиција само за читање, Андроид-ово основно складиште је непроменљиво ван ажурирања ОС-а, што може представљати проблем када Гоогле жели да уклони или дода нови роот сертификат.

Понекад је роот сертификат пред истеком, што потенцијално доводи до квара сајтова и услуга и до појаве упозорења о несигурним везама у веб прегледачима. У неким случајевима, ЦА који је издао роот сертификат је за које се сумња да су злонамерни или компромитовани. Или а нови роот сертификат појављује се да треба да се дода у основно складиште сваког већег ОС-а пре него што ЦА заиста почне да потписује сертификате. Андроидова основна продавница не мора да се ажурира тако често, али довољно се дешава да релативно спор темпо ажурирања Андроид-а постане проблем.

Међутим, почевши од Андроида 14, Андроидова основна продавница има постати ажуриран преко Гоогле Плаи-а. Андроид 14 сада има два директоријума који садрже основну продавницу оперативног система: горе поменуту, непроменљиву-ван-ОТА /систем/етц/сецурити/цацертс локацију и нову, ажурирану /апек/цом.[гоогле].андроид.цонсцрипт/сецурити/цацертс локацију. именик. Ово последње је садржано у Цонсцрипт модулу, модулу Пројецт Маинлине уведен у Андроид 10 који обезбеђује Андроид имплементацију ТЛС-а. Пошто се Цонсцрипт модул може ажурирати путем ажурирања Гоогле Плаи система, то значи да ће бити и Андроидова основна продавница.

Осим што омогућава ажурирање Андроид-ове основне продавнице, Андроид 14 такође додаје и уклања неке роот сертификате као део Гоогле-овог годишњег ажурирања основне продавнице система.

Основни сертификати који су додати у Андроид 14 укључују:

  1. АЦ РАИЗ ФНМТ-РЦМ СЕРВИДОРЕС СЕГУРОС
  2. АНФ Сецуре Сервер Роот ЦА
  3. Ауторидад де Цертифицатион Фирмапрофесионал ЦИФ А62634068
  4. Свакако Роот Е1
  5. Свакако Роот Р1
  6. Цертум ЕЦ-384 ЦА
  7. Цертум Трустед Роот ЦА
  8. Д-ТРУСТ БР Роот ЦА 1 2020
  9. Д-ТРУСТ ЕВ Роот ЦА 1 2020
  10. ДигиЦерт ТЛС ЕЦЦ П384 Роот Г5
  11. ДигиЦерт ТЛС РСА4096 Роот Г5
  12. ГЛОБАЛТРУСТ 2020
  13. ГлобалСигн Роот Е46
  14. ГлобалСигн Роот Р46
  15. ХАРИЦА ТЛС ЕЦЦ Роот ЦА 2021
  16. ХАРИЦА ТЛС РСА Роот ЦА 2021
  17. ХиПКИ Роот ЦА - Г1
  18. ИСРГ Роот Кс2
  19. Сигурносна комуникација ЕЦЦ РоотЦА1
  20. Сигурносна комуникација РоотЦА3
  21. Телиа Роот ЦА в2
  22. Тугра Глобал Роот ЦА ЕЦЦ в3
  23. Тугра Глобал Роот ЦА РСА в3
  24. ТунТруст Роот ЦА
  25. вТрус ЕЦЦ Роот ЦА
  26. вТрус Роот ЦА

Основни сертификати који су уклоњени у Андроиду 14 укључују:

  1. Корен привредних комора - 2008
  2. Цибертруст Глобал Роот
  3. ДСТ Роот ЦА Кс3
  4. ЕЦ-АЦЦ
  5. ГеоТруст Примари Цертифицатион Аутхорити - Г2
  6. Глобал Цхамберсигн Роот 2008
  7. ГлобалСигн
  8. Хеленске академске и истраживачке институције РоотЦА 2011
  9. Нетворк Солутионс Цертифицате Аутхорити
  10. КуоВадис Роот Цертифицатион Аутхорити
  11. Сонера Цласс2 ЦА
  12. Држава Недерланден ЕВ Роот ЦА
  13. Стаат дер Недерланден Роот ЦА - Г3
  14. ТрустЦор ЕЦА-1
  15. ТрустЦор РоотЦерт ЦА-1
  16. ТрустЦор РоотЦерт ЦА-2
  17. Трустис ФПС Роот ЦА
  18. ВериСигн Универсал Роот Цертифицатион Аутхорити

За детаљније објашњење ТЛС сертификата, требало би да прочитате мог колегу Чланак Адама Конвеја овде. За детаљнију анализу како функционише основна продавница Андроид 14 која се може ажурирати и зашто је настала, погледајте чланак који сам претходно написао на тему.