CA รูตที่เชื่อถือได้ใดที่มีอยู่ใน Android เป็นค่าเริ่มต้น

ดูเหมือนว่าจะไม่มีทรัพยากร Android กลางที่แสดงรายการ Trusted Root CAs ที่รวมอยู่ในระบบปฏิบัติการหรือเบราว์เซอร์เริ่มต้น ( คำถามที่เกี่ยวข้องกับ SO ) ดังนั้นฉันจะทราบได้อย่างไรว่าจะรวมอยู่ในโทรศัพท์ของฉันเป็นค่าเริ่มต้น

ด้วยจำนวนใบรับรองหลักที่ถูกบุกรุกและจำนวนใบรับรอง SSL ที่หลอกลวงที่สร้างขึ้นในช่วงสองสามปีที่ผ่านมานี่เป็นปัญหาสำหรับทุกคนที่ใช้ SSL เพื่อความปลอดภัยมิฉะนั้นคุณจะไม่รู้ว่าคุณต้องการลบหรือไม่ CAs

(ไม่แสดงรายชื่อผู้ผลิตหรือเวอร์ชั่น OS ของฉันเนื่องจากฉันกำลังมองหาแหล่งข้อมูลทั่วไปหรือโซลูชันที่ควรใช้กับอุปกรณ์ใด ๆ )

security certificates https

— GAThrawn
แหล่งที่มา

ฉันได้ใช้ app นี้ (รากจำเป็น) ในรายการและลบใบรับรองรากแต่ละCACertManหรือบนPlay สโตร์ โครงการ guradian ยังรักษาเวอร์ชัน keystore มาตรฐานที่แก้ไข: github.com/guardianproject/cacert

— ce4

ลิงก์ Play Store ในความคิดเห็นก่อนหน้านี้ผิด - นี่คือหนึ่งในPlay Store ที่ถูกต้อง

— Michael Kohne

@Michael: ขอขอบคุณสำหรับคำแนะนำที่ดูเหมือนว่าฉัน messed ขึ้นกับสำเนาของฉัน / วางบัฟเฟอร์ (ออกจากการแสดงความคิดเห็นเป็นคุณและ eldarerathis ทั้งให้ถูกต้อง)

— CE4

บน ICS หรือหลังจากนั้นคุณสามารถตรวจสอบนี้ในการตั้งค่าของคุณ ไปที่Settings->Security->Trusted Credentialsเพื่อดูรายการ CA ที่เชื่อถือได้ทั้งหมดของคุณคั่นด้วยว่าพวกเขารวมอยู่ในระบบหรือติดตั้งโดยผู้ใช้

Android เวอร์ชันก่อนหน้านี้เก็บใบรับรองไว้/system/etc/securityในกลุ่มที่เข้ารหัสcacerts.bksซึ่งคุณสามารถแยกได้โดยใช้ Bouncy Castleและkeytoolโปรแกรม สรุปคือการดึงบันเดิลครั้งแรกโดยใช้adb(คุณต้องรูทเชลล์) จากนั้นคุณสามารถใช้ Bouncy Castle เพื่อแสดงรายการเนื้อหาของบันเดิล:

shell~$ adb pull /system/etc/security/cacerts.bks`
shell~$ keytool -keystore cacerts.bks -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider -storepass changeit -v -list

นอกจากนี้ยังมีแอปอย่างน้อยหนึ่งแอพที่คุณสามารถลองได้หากคุณไม่ต้องการใช้เชลล์: CACertMan (ต้องการรูทเพื่อแก้ไขรายการ แต่ควรอนุญาตให้คุณดูรายการโดยไม่รูท) ฉันเชื่อว่ามันเกิดขึ้นเนื่องจากความล้มเหลวของ DigiNotar เนื่องจากไม่มีวิธีที่ง่ายสำหรับผู้ใช้ในการเพิกถอนใบรับรองในเวลานั้น เนื่องจาก certs นั้นจัดเก็บแตกต่างกันใน ICS และในภายหลังแอปนี้จะทำงานเฉพาะกับอุปกรณ์ที่ใช้ Gingerbread (หรือก่อนหน้านี้) แต่จะล้าสมัยใน ICS / JB ต่อไป

— eldarerathis
แหล่งที่มา

ใช่มันมาเพราะ DigiNotar รูตนั้นจำเป็นสำหรับการแก้ไข CA ออกเท่านั้น (เช่น Chinese state CAs) ไม่ใช่สำหรับการดูฉันคิดว่า (IIRC)

— ce4

@ ce4: ฉันจำไม่ได้ว่าคุณต้องการรูทเพียงเพื่อเรียกดูด้วย CACertMan หรือไม่ - ฉันจะตรวจสอบอย่างรวดเร็วจริง ๆ อัปเดต: คิดว่าคุณถูกต้องฉันสามารถแสดงรายการพวกเขาหากฉันปฏิเสธการเข้าถึงรูทฉันไม่สามารถบันทึกรายการที่แก้ไขได้ ฉันจะอธิบายอย่างนั้น

— eldarerathis

มีวิธี (รูท) ในการแก้ไข / เพิ่มใบรับรองจากเชลล์หรือไม่? วิธีการตั้งค่าอ้างถึงความสำเร็จบนแท็บเล็ตของฉัน แต่ไม่ได้ติดตั้งใบรับรอง

— ไมเคิล