Представьте себе следующее: В один прекрасный день вы разблокировали свой (по общему признанию, очень старый) телефон, чтобы поискать что-нибудь в Интернете, но понимаете, что большинство, если не все, веб-сайты просто отказываются подключаться, выдавая вместо этого предупреждения о безопасности. Такая ситуация почти возникла на телефонах с Android 7 и старше в 2021 году, когда истек срок действия так называемого корневого сертификата. Проблема может быть решена благодаря причудливому способу, которым Android обрабатывает такие просроченные сертификаты, но Google ищет более постоянное решение. Оно может быть введено в Android 14
Как заметил старший технический редактор Esper.io Мишаал Рахман в открытом исходном коде Android, Google работает над новым основным модулем, который позволит обновлять корневые сертификаты на лету. В настоящее время корневые сертификаты обновляются в рамках полного обновления системы, что редко доходит до старых устройств, которые могут столкнуться с риском попасть на территорию устаревших корневых сертификатов
Вместо того чтобы быть частью системного пакета, новый модуль сертификации можно обновлять через службы Google Play. Это позволяет Google высылать обновления по мере необходимости, что дает возможность поддерживать подключение устройств ко всем веб-сайтам, которые вы можете посетить в Интернете. Это похоже на то, как уже давно настроены многие компоненты Android, включая Bluetooth
Этот новый подход хорош и по другой причине. Корневые сертификаты в первую очередь основаны на доверии, и именно они позволяют сайтам устанавливать безопасные соединения в первую очередь. Один из таких центров корневых сертификатов, TrustCor, недавно был замечен в связях с компанией, предоставляющей спецслужбам шпионские программы. Хотя никаких проблем с самим TrustCor обнаружено не было, компании быстро отказываются от этого бизнеса из-за опасений, что здесь может быть что-то нечисто. В конце концов, было бы не очень хорошо, если бы спецслужбы могли просматривать все зашифрованные данные, которыми обмениваются сервер и пользователь. Хотя Android удаляет поддержку сертификата TrustCor в полных обновлениях безопасности системы, было бы предпочтительнее, если бы Google мог отключить сертификат быстрее
Проблема с устаревшими корневыми сертификатами особенно актуальна для Android. Здесь большинство приложений и браузеров полагаются на встроенные корневые сертификаты для проверки безопасных соединений, в то время как на Windows и macOS многие приложения имеют собственные обновляемые корневые сертификаты в комплекте. На самом деле, Chrome только недавно представил собственное корневое хранилище – так называется место, куда сохраняются корневые сертификаты. На Android ярким примером приложения, которое полагается на собственное корневое хранилище, является Firefox. Это означает, что браузер будет продолжать работать на старых телефонах Android, несмотря ни на что, даже если системный корневой сертификат просрочен. К счастью, срок действия следующего большого корневого сертификата истекает только в 2035 году, поэтому в ближайшее время нам не стоит ожидать проблем, подобных той, что возникла с Android 7 в 2021 году
Для более глубокого погружения в эту тему обязательно ознакомьтесь с постом Мишаала Рахмана на Esper. Он подробно рассказывает о том, что такое корневые сертификаты и для чего они нужны
Комментировать