全球實時：Android 14 使根證書可通過 Google Play 更新

(相關資料圖)

Android有一個小問題，每個藍月亮只會抬起一次丑陋的頭，但是當它出現(xiàn)時，它會引起一些恐慌。幸運的是，谷歌在Android 14中有一個解決方案，可以將這個問題扼殺在萌芽狀態(tài)。問題在于，Android系統(tǒng)的根證書存儲(根存儲)只能在Android存在的大部分時間里通過無線(OTA)更新進行更新。雖然原始設備制造商和運營商在更快、更頻繁地推出更新方面做得更好，但情況仍然可以更好。這就是為什么谷歌設計了一個解決方案，從Android 14開始，通過Google Play更新Android的根存儲。

當您每天上網(wǎng)時，您相信設備的軟件配置正確，可以將您指向托管您想要訪問的網(wǎng)站的正確服務器。建立正確的連接很重要，這樣您就不會最終落入惡意人士擁有的服務器上，但安全地建立該連接也很重要，因此您發(fā)送到該服務器的任何數(shù)據(jù)都在傳輸中加密(TLS)，希望不能輕易被窺探。但是，您的操作系統(tǒng)、Web 瀏覽器和應用程序只會與互聯(lián)網(wǎng) (HTTPS) 上的服務器建立安全連接，前提是它們信任服務器的 (TLS) 安全證書。

但是，由于互聯(lián)網(wǎng)上有如此多的網(wǎng)站，操作系統(tǒng)，Web瀏覽器和應用程序不會維護他們信任的每個站點的安全證書的列表。相反，他們查看誰簽署了頒發(fā)給站點的安全證書：它是自簽名的還是由他們信任的另一個實體(證書頒發(fā)機構 [CA])簽名的?此驗證鏈可以深入幾層，直到您到達頒發(fā)安全證書的根 CA，該 CA 用于簽署最終簽署頒發(fā)給您正在訪問的站點的證書的證書。

根 CA 的數(shù)量比直接或通過一個或多個中間 CA 頒發(fā)安全證書的網(wǎng)站數(shù)量要少得多，從而使操作系統(tǒng)和 Web 瀏覽器可以維護他們信任的根 CA 證書列表。例如，Android有一個受信任的根證書列表，這些證書在操作系統(tǒng)的只讀系統(tǒng)分區(qū)中提供，位于/system/etc/security/cacerts。如果應用不限制要信任的證書(這種做法稱為證書固定)，則在決定是否信任安全證書時，它們默認使用操作系統(tǒng)的根存儲。由于“系統(tǒng)”分區(qū)是只讀的，因此Android的根存儲在操作系統(tǒng)更新之外是不可變的，當Google想要刪除或添加新的根證書時，這可能會帶來問題。