Android'in kök deposu, kök sertifikaları eklemek veya kaldırmak için bir OTA güncellemesi gerektiriyordu. Android 14'te durum böyle olmayacak.
Android'in her mavi ayda bir çirkin yüzünü gösteren küçük bir sorunu var, ancak ortaya çıktığında biraz paniğe neden oluyor. Neyse ki, Google'ın Android 14'te bu sorunu tomurcukta ortadan kaldıran bir çözümü var. Sorun, Android sisteminin kök sertifika deposunun (kök depo), Android'in varlığının çoğu için yalnızca kablosuz (OTA) bir güncelleme yoluyla güncellenebilmesidir. OEM'ler ve operatörler, güncellemeleri daha hızlı ve sık bir şekilde yayınlama konusunda daha iyi hale gelse de, her şey daha iyi olabilir. Bu nedenle Google, Android'in kök deposunu Google Play aracılığıyla güncellenebilir hale getirmek için bir çözüm geliştirdi. Android 14.
Her gün çevrimiçi olduğunuzda, cihazınızın yazılımının sizi ziyaret etmek istediğiniz web sitelerini barındıran doğru sunuculara yönlendirecek şekilde yapılandırıldığına güvenirsiniz. Doğru bağlantıyı kurmak önemlidir, böylece kötü niyetli birine ait bir sunucuya değil, güvenli bir şekilde sahip olursunuz. bu bağlantıyı kurmak da önemlidir, bu nedenle o sunucuya gönderdiğiniz tüm veriler aktarım sırasında şifrelenir (TLS) ve umarız kolayca olamaz. gözetledim. İşletim sisteminiz, web tarayıcınız ve uygulamalarınız, yalnızca sunucunun (TLS) güvenlik sertifikasına güveniyorlarsa İnternet'teki sunucularla (HTTPS) güvenli bağlantılar kurar.
İnternette çok ama çok fazla web sitesi olduğu için, işletim sistemleri, web tarayıcıları ve uygulamalar güvendikleri her sitenin güvenlik sertifikasının bir listesini tutmazlar. Bunun yerine, siteye verilen güvenlik sertifikasını kimin imzaladığına bakarlar: Kendinden mi yoksa güvendikleri başka bir varlık (bir sertifika yetkilisi [CA]) tarafından mı imzalandı? Bu doğrulama zinciri, güvenliği sağlayan bir kök CA'ya ulaşana kadar birkaç katman derinliğinde olabilir. sonunda bulunduğunuz siteye verilen sertifikayı imzalayan sertifikayı imzalamak için kullanılan sertifika ziyaret.
Kök CA'ların sayısı, kendileri tarafından doğrudan veya doğrudan güvenlik sertifikası verilen web sitelerinin sayısından çok çok daha azdır. bir veya daha fazla aracı CA aracılığıyla, böylece işletim sistemleri ve web tarayıcılarının sahip oldukları kök CA sertifikalarının bir listesini tutmasını mümkün kılar. güven. Örneğin Android, işletim sisteminin /system/etc/security/cacerts adresindeki salt okunur sistem bölümünde gönderilen güvenilir kök sertifikaların bir listesine sahiptir. Uygulamalar yoksa hangi sertifikalara güvenileceğini sınırlayın, sertifika sabitleme adı verilen bir uygulama, ardından bir güvenlik sertifikasına güvenilip güvenilmeyeceğine karar verirken varsayılan olarak işletim sisteminin kök deposunu kullanırlar. "Sistem" bölümü salt okunur olduğundan, Android'in kök deposu bir işletim sistemi güncellemesi dışında sabittir; bu, Google'ın yeni bir kök sertifikayı kaldırmak veya eklemek istediğinde sorun teşkil edebilir.
Bazen, bir kök sertifika sona ermek üzere, potansiyel olarak sitelerin ve hizmetlerin bozulmasına ve web tarayıcılarının güvenli olmayan bağlantılar hakkında uyarılar vermesine yol açar. Bazı durumlarda, bir kök sertifika yayınlayan CA, kötü amaçlı olduğundan veya güvenliği ihlal edildiğinden şüpheleniliyor. veya bir yeni kök sertifika CA'nın gerçekten sertifikaları imzalamaya başlayabilmesi için kendisini her büyük işletim sisteminin kök deposuna eklemesi gereken ekinler. Android'in kök deposunun çok sık güncellenmesi gerekmez, ancak Android'in nispeten yavaş güncelleme hızının bir sorun haline gelmesi yeterlidir.
Ancak Android 14'ten başlayarak, Android'in kök deposunda Google Play aracılığıyla güncellenebilir hale gelin. Android 14'ün artık işletim sisteminin kök deposunu içeren iki dizini var: yukarıda bahsedilen, OTA'nın dışında değişmez /system/etc/security/cacerts konumu ve yeni, güncellenebilir /apex/com.[google].android.conscrypt/security/cacerts dizin. İkincisi, Android 10'da tanıtılan ve Android'in TLS uygulamasını sağlayan bir Proje Ana Hattı modülü olan Conscrypt modülünde bulunur. Conscrypt modülü, Google Play Sistem Güncellemeleri aracılığıyla güncellenebildiğinden, bu, Android'in kök deposunun da güncelleneceği anlamına gelir.
Android 14, Android'in kök deposunu güncellenebilir hale getirmenin yanı sıra, Google'ın sistem kök deposuna yaptığı yıllık güncellemenin bir parçası olarak bazı kök sertifikaları da ekler ve kaldırır.
Android 14'e eklenen kök sertifikalar şunları içerir:
- AC RAIZ FNMT-RCM SERVİDORLARI SEGUROS
- ANF Güvenli Sunucu Kök CA
- Firmaprofesyonel Sertifika Yetkilisi CIF A62634068
- Kesinlikle Kök E1
- Kesinlikle Kök R1
- Sertum EC-384 CA
- Certum Güvenilir Kök CA
- D-TRUST BR Kök CA 1 2020
- D-TRUST EV Root CA 1 2020
- DigiCert TLS ECC P384 Kök G5
- DigiCert TLS RSA4096 Kök G5
- GLOBALTRUST 2020
- GlobalSign Kökü E46
- GlobalSign Kökü R46
- HARICA TLS ECC Kök CA 2021
- HARİCA TLS RSA Kök CA 2021
- HiPKI Kök CA - G1
- ISRG Kök X2
- Güvenlik İletişimi ECC RootCA1
- Güvenlik İletişimi RootCA3
- Telia Kök CA v2
- Tuğra Global Root CA ECC v3
- Tuğra Global Root CA RSA v3
- TunTrust Kök CA
- vTrus ECC Kök CA
- vTrus Kök CA
Android 14'te kaldırılan kök sertifikalar şunları içerir:
- Ticaret Odaları Kökü - 2008
- Cybertrust Küresel Kökü
- DST Kökü CA X3
- EC-ACC
- GeoTrust Birincil Sertifika Yetkilisi - G2
- Küresel Chambersign Kökü 2008
- GlobalSign
- Yunan Akademik ve Araştırma Kurumları RootCA 2011
- Ağ Çözümleri Sertifika Yetkilisi
- QuoVadis Kök Sertifika Yetkilisi
- Sonera Class2 CA
- Hollanda Devleti EV Root CA
- Hollanda Devleti Root CA - G3
- TrustCor ECA-1
- TrustCor RootCert CA-1
- TrustCor RootCert CA-2
- Trustis FPS Kök CA
- VeriSign Evrensel Kök Sertifika Yetkilisi
TLS sertifikalarının daha ayrıntılı bir açıklaması için meslektaşımı okumalısınız. Adam Conway'in makalesi burada. Android 14'ün güncellenebilir kök deposunun nasıl çalıştığına ve neden ortaya çıktığına dair daha kapsamlı bir analiz için göz atın daha önce yazdığım yazı Konuyla ilgili.