全球實時：Android 14 使根證書可通過 Google Play 更新

(相關資料圖)

Android有一個小問題，每個藍月亮只會抬起一次丑陋的頭，但是當它出現時，它會引起一些恐慌。幸運的是，谷歌在Android 14中有一個解決方案，可以將這個問題扼殺在萌芽狀態。問題在于，Android系統的根證書存儲(根存儲)只能在Android存在的大部分時間里通過無線(OTA)更新進行更新。雖然原始設備制造商和運營商在更快、更頻繁地推出更新方面做得更好，但情況仍然可以更好。這就是為什么谷歌設計了一個解決方案，從Android 14開始，通過Google Play更新Android的根存儲。

當您每天上網時，您相信設備的軟件配置正確，可以將您指向托管您想要訪問的網站的正確服務器。建立正確的連接很重要，這樣您就不會最終落入惡意人士擁有的服務器上，但安全地建立該連接也很重要，因此您發送到該服務器的任何數據都在傳輸中加密(TLS)，希望不能輕易被窺探。但是，您的操作系統、Web 瀏覽器和應用程序只會與互聯網 (HTTPS) 上的服務器建立安全連接，前提是它們信任服務器的 (TLS) 安全證書。

但是，由于互聯網上有如此多的網站，操作系統，Web瀏覽器和應用程序不會維護他們信任的每個站點的安全證書的列表。相反，他們查看誰簽署了頒發給站點的安全證書：它是自簽名的還是由他們信任的另一個實體(證書頒發機構 [CA])簽名的?此驗證鏈可以深入幾層，直到您到達頒發安全證書的根 CA，該 CA 用于簽署最終簽署頒發給您正在訪問的站點的證書的證書。

根 CA 的數量比直接或通過一個或多個中間 CA 頒發安全證書的網站數量要少得多，從而使操作系統和 Web 瀏覽器可以維護他們信任的根 CA 證書列表。例如，Android有一個受信任的根證書列表，這些證書在操作系統的只讀系統分區中提供，位于/system/etc/security/cacerts。如果應用不限制要信任的證書(這種做法稱為證書固定)，則在決定是否信任安全證書時，它們默認使用操作系統的根存儲。由于“系統”分區是只讀的，因此Android的根存儲在操作系統更新之外是不可變的，當Google想要刪除或添加新的根證書時，這可能會帶來問題。