(相關(guān)資料圖)

Android有一個(gè)小問題，每個(gè)藍(lán)月亮只會(huì)抬起一次丑陋的頭，但是當(dāng)它出現(xiàn)時(shí)，它會(huì)引起一些恐慌。幸運(yùn)的是，谷歌在Android 14中有一個(gè)解決方案，可以將這個(gè)問題扼殺在萌芽狀態(tài)。問題在于，Android系統(tǒng)的根證書存儲(chǔ)(根存儲(chǔ))只能在Android存在的大部分時(shí)間里通過無線(OTA)更新進(jìn)行更新。雖然原始設(shè)備制造商和運(yùn)營商在更快、更頻繁地推出更新方面做得更好，但情況仍然可以更好。這就是為什么谷歌設(shè)計(jì)了一個(gè)解決方案，從Android 14開始，通過Google Play更新Android的根存儲(chǔ)。

當(dāng)您每天上網(wǎng)時(shí)，您相信設(shè)備的軟件配置正確，可以將您指向托管您想要訪問的網(wǎng)站的正確服務(wù)器。建立正確的連接很重要，這樣您就不會(huì)最終落入惡意人士擁有的服務(wù)器上，但安全地建立該連接也很重要，因此您發(fā)送到該服務(wù)器的任何數(shù)據(jù)都在傳輸中加密(TLS)，希望不能輕易被窺探。但是，您的操作系統(tǒng)、Web 瀏覽器和應(yīng)用程序只會(huì)與互聯(lián)網(wǎng) (HTTPS) 上的服務(wù)器建立安全連接，前提是它們信任服務(wù)器的 (TLS) 安全證書。

但是，由于互聯(lián)網(wǎng)上有如此多的網(wǎng)站，操作系統(tǒng)，Web瀏覽器和應(yīng)用程序不會(huì)維護(hù)他們信任的每個(gè)站點(diǎn)的安全證書的列表。相反，他們查看誰簽署了頒發(fā)給站點(diǎn)的安全證書：它是自簽名的還是由他們信任的另一個(gè)實(shí)體(證書頒發(fā)機(jī)構(gòu) [CA])簽名的?此驗(yàn)證鏈可以深入幾層，直到您到達(dá)頒發(fā)安全證書的根 CA，該 CA 用于簽署最終簽署頒發(fā)給您正在訪問的站點(diǎn)的證書的證書。

根 CA 的數(shù)量比直接或通過一個(gè)或多個(gè)中間 CA 頒發(fā)安全證書的網(wǎng)站數(shù)量要少得多，從而使操作系統(tǒng)和 Web 瀏覽器可以維護(hù)他們信任的根 CA 證書列表。例如，Android有一個(gè)受信任的根證書列表，這些證書在操作系統(tǒng)的只讀系統(tǒng)分區(qū)中提供，位于/system/etc/security/cacerts。如果應(yīng)用不限制要信任的證書(這種做法稱為證書固定)，則在決定是否信任安全證書時(shí)，它們默認(rèn)使用操作系統(tǒng)的根存儲(chǔ)。由于“系統(tǒng)”分區(qū)是只讀的，因此Android的根存儲(chǔ)在操作系統(tǒng)更新之外是不可變的，當(dāng)Google想要?jiǎng)h除或添加新的根證書時(shí)，這可能會(huì)帶來問題。