Android有一个小问题,每个蓝月亮只会抬起一次丑陋的头,但是当它出现时,它会引起一些恐慌。幸运的是,谷歌在Android 14中有一个解决方案,可以将这个问题扼杀在萌芽状态。问题在于,Android系统的根证书存储(根存储)只能在Android存在的大部分时间里通过无线(OTA)更新进行更新。虽然原始设备制造商和运营商在更快、更频繁地推出更新方面做得更好,但情况仍然可以更好。这就是为什么谷歌设计了一个解决方案,从Android 14开始,通过Google Play更新Android的根存储。
当您每天上网时,您相信设备的软件配置正确,可以将您指向托管您想要访问的网站的正确服务器。建立正确的连接很重要,这样您就不会最终落入恶意人士拥有的服务器上,但安全地建立该连接也很重要,因此您发送到该服务器的任何数据都在传输中加密(TLS),希望不能轻易被窥探。但是,您的操作系统、Web 浏览器和应用程序只会与互联网 (HTTPS) 上的服务器建立安全连接,前提是它们信任服务器的 (TLS) 安全证书。
但是,由于互联网上有如此多的网站,操作系统,Web浏览器和应用程序不会维护他们信任的每个站点的安全证书的列表。相反,他们查看谁签署了颁发给站点的安全证书:它是自签名的还是由他们信任的另一个实体(证书颁发机构 [CA])签名的?此验证链可以深入几层,直到您到达颁发安全证书的根 CA,该 CA 用于签署最终签署颁发给您正在访问的站点的证书的证书。
根 CA 的数量比直接或通过一个或多个中间 CA 颁发安全证书的网站数量要少得多,从而使操作系统和 Web 浏览器可以维护他们信任的根 CA 证书列表。例如,Android有一个受信任的根证书列表,这些证书在操作系统的只读系统分区中提供,位于/system/etc/security/cacerts。如果应用不限制要信任的证书(这种做法称为证书固定),则在决定是否信任安全证书时,它们默认使用操作系统的根存储。由于“系统”分区是只读的,因此Android的根存储在操作系统更新之外是不可变的,当Google想要删除或添加新的根证书时,这可能会带来问题。