全球实时：Android 14 使根证书可通过 Google Play 更新

(相关资料图)

Android有一个小问题，每个蓝月亮只会抬起一次丑陋的头，但是当它出现时，它会引起一些恐慌。幸运的是，谷歌在Android 14中有一个解决方案，可以将这个问题扼杀在萌芽状态。问题在于，Android系统的根证书存储(根存储)只能在Android存在的大部分时间里通过无线(OTA)更新进行更新。虽然原始设备制造商和运营商在更快、更频繁地推出更新方面做得更好，但情况仍然可以更好。这就是为什么谷歌设计了一个解决方案，从Android 14开始，通过Google Play更新Android的根存储。

当您每天上网时，您相信设备的软件配置正确，可以将您指向托管您想要访问的网站的正确服务器。建立正确的连接很重要，这样您就不会最终落入恶意人士拥有的服务器上，但安全地建立该连接也很重要，因此您发送到该服务器的任何数据都在传输中加密(TLS)，希望不能轻易被窥探。但是，您的操作系统、Web 浏览器和应用程序只会与互联网 (HTTPS) 上的服务器建立安全连接，前提是它们信任服务器的 (TLS) 安全证书。

但是，由于互联网上有如此多的网站，操作系统，Web浏览器和应用程序不会维护他们信任的每个站点的安全证书的列表。相反，他们查看谁签署了颁发给站点的安全证书：它是自签名的还是由他们信任的另一个实体(证书颁发机构 [CA])签名的?此验证链可以深入几层，直到您到达颁发安全证书的根 CA，该 CA 用于签署最终签署颁发给您正在访问的站点的证书的证书。

根 CA 的数量比直接或通过一个或多个中间 CA 颁发安全证书的网站数量要少得多，从而使操作系统和 Web 浏览器可以维护他们信任的根 CA 证书列表。例如，Android有一个受信任的根证书列表，这些证书在操作系统的只读系统分区中提供，位于/system/etc/security/cacerts。如果应用不限制要信任的证书(这种做法称为证书固定)，则在决定是否信任安全证书时，它们默认使用操作系统的根存储。由于“系统”分区是只读的，因此Android的根存储在操作系统更新之外是不可变的，当Google想要删除或添加新的根证书时，这可能会带来问题。