IT之家 12 月 22 日消息,根证书(Root certificates)是公钥基础设施 (PKI) 的核心,必须要通过受信任的证书颁发机构(CA)签名才能生效。应用程序和浏览器都可以对根证书进行更新, 但是安卓手机目前只能通过 OTA 升级的方式进行更新。在即将到来的安卓 14 系统中可能会改变这种情况。
IT之家了解到,每个操作系统都内置自己的根证书,安卓自然也不例外。你可以在安卓手机上通过导航到设置应用中的“安全和隐私”选项来查看根证书。
但问题是这个根存储不是万能的。应用程序可以选择使用和信任它们自己的根存储(Firefox 就是这样做的),并且它们可以只接受特定的证书(称为证书固定)以避免中间人 (MITM) 攻击。自安卓 7 系统以来,用户也可以安装自己的证书,开发者也可以选择允许其应用使用这些证书。
根据 AOSP Gerrit 上的一项新提案,Conscrypt 是一个提供 Android 的 TLS 实现的 Mainline 模块,将在未来的更新中支持可更新的根证书。这意味着可以通过 Project Mainline 的 Google Play 系统更新来删除(甚至添加)证书,以确保在将来发生其他情况(如 TrustCor(或更糟))时能够更快地进行处理。
在引入这项功能之后谷歌可以不依赖 OEM 厂商推送更新的方式,及时更新根证书从而让设备更加安全。