- : у пользователей устаревших версий android могут возникнуть проблемы с доступом ко многим сайтам
- Samsung расширяет линейку продуктов по программе дополнительного сервисного обслуживания samsung care | — новости
- Декларация | samsung ru
- Информация о гарантии на продукты samsung | samsung ru
- Поиск trustmanager
- Проверка легальности цепочки сертификатов
- Управление корневым сертификатом android
: у пользователей устаревших версий android могут возникнуть проблемы с доступом ко многим сайтам
Как самостоятельность одного сервиса может принести проблемы миллионам пользователей интернета
Пользователям устройств на база Android давно известно, что жизненный цикл гаджетов зависит не только от работоспособности железа, но и от соответствующей поддержки программной экосистемы. В отличие от устройств на платформе iOS, устройства Android вполне себе могут “жить” на достаточно старых версиях Android. Как стало недавно известно, все может достаточно сильно измениться. Что же произошло?
Не секрет, что большинство мобильных гаджетов в том числе берутся для доступа и использования онлайн. Каждое устройство для доступа к сайтам должно иметь соответствующие корневые сертификаты (корневой сертификат (СА) — часть ключа, которым центры сертификации подписывают выпущенные SSL-сертификаты. Выдавая корневой сертификат, каждый такой центр гарантирует, что пользователи или организации, запросившие SSL, верифицированы и действия с доменом легальны). Без них доступ к сайтам будет серьёзно ограничен.
В 2021 года появился новый сервис Let’s Encrypt.
На официальной страничке сервиса мы можем увидеть следующее:
“Let’s Encrypt – бесплатный, автоматизированный и открытый Центр Сертификации, созданный на благо всего общества организацией Internet Security Research Group (ISRG). Мы помогаем людям выпускать SSL/TLS сертификаты для их сайтов с доступом по HTTPS, бесплатно, максимально облегчая процесс выдачи. Потому что хотим сделать интернет безопасным, и уважающим конфиденциальность его пользователей.”
06.11.2020 данный сервис сообщил о некоторых изменениях в своей работе с корневыми сертификатами (КС).
Как объясняют сами Let’s Encrypt, на этапе формирования новых центров сертификации (ЦС) необходимо, чтобы его корневой сертификат пользовался доверием в самых разных операционных системах (ОС) и браузерах. Также понятно, что программная поддержка нового корневого сертификата ОС-ами и браузерам могут потребоваться годы (безопасность превыше всего), и еще намного больше времени для того, чтобы у людей появились повсеместно соответствующие устройства. Поэтому наиболее оптимальными и быстрым способом интеграции новых КС является перекрестная подпись сертификатов с существующим доверенным ЦС. ЦС Let’s Encrypt именно таким путем и пошел и 19.10.2021 года стало известно о перекрёстном подписании своих сертификатов Let’s Encrypt с организацией IdenTrust (сертификат DST Root X3). IdenTrust является ведущим поставщиком цифровых сертификатов, которые создают основу для надежных решений идентификации, признанных финансовыми учреждениями, поставщиками медицинских услуг, правительственными учреждениями и предприятиями по всему миру. Так как КС IdenTrust DST Root X3 существует достаточно давно, то все основные программные платформы уже доверяют ему: Windows, Firefox, macOS, Android, iOS и множество дистрибутивов Linux, что сразу позволило сертификатам Let’s Encrypt работать со всеми перечисленными платформами. Фактически, без IdenTrust Let’s Encrypt как глобальный ЦС могла бы никогда не состояться. Тем временем Let’s Encrypt выпустили свой собственный корневой сертификат (ISRG Root X1) и подали заявку на то, чтобы его поддерживали (доверяли) основные программные платформы.
Let’s Encrypt с использованием DST Root X3 добилась своего: на 2020 год все актуальные программные платформы поддерживают корневой сертификат ISRG Root X1 и готовы с ним работать. Так как перекрестная сертификация с DST Root X3 заканчивается 01.09.2021 года Let’s Encrypt сообщает, что вполне способна обойтись без перекрестной сертификации. Вот здесь и существует проблемы совместимости для обычных пользователей Android.
Естественно, когда к 2021 году началось повсеместное внедрение ISRG Root X1 (к 2021 году), устаревшие к тому моменту программные среды не имеют возможности доверять корневому сертификату Let’s Encrypt напрямую в силу отсутствия соответствующей программной поддержки. Например, сюда входят версии Android 7.1 и более ранние. Это означает, что старые версии Android больше не будут доверять сертификатам, выданным Let’s Encrypt с 01.09.2021 и получать доступ к соответствующим сайтам.
Хотя в настоящий момент корпорация Google официально не предоставляет информацию по распространению различных версий Android, тем не менее некоторую информацию можно получить из Android Studio (данные на сентябрь 2020):
Таким образом, в настоящее время около 66% устройств Android работают под управлением версии 7.1.1 или выше. Остальные примерно 40% устройств Android имеют более ранние версии и в конечном итоге начнут получать ошибки корневого сертификата при посещении сайтов с сертификатом ISRG Root X1.
Так же, Let’s Encrypt, исследуя данную проблему, обратилась к крупными интеграторами и обнаружила следующее: средний интернет-трафик устаревших устройств составляет около 1-5%. Естественно, нельзя исключать, что эти цифры упадут к моменту истечения срока действия DST Root X3, но все же рассчитывать на какое-либо существенное падение надеяться не стоит.
Что нас ждет дальше? Как сообщает Let’s Encrypt в своей новости, что как бы им не хотелось, но обеспечение всех пользователей интернета обновленными устройствами – это не их задача, так же как и осуществлять поддержу постоянную поддержку устаревших платформ: решение ка ки раньше лежит в плоскости перекрестной сертификации, что прежде всего ограничит действия получателя перекрестной сертификации (опять возникнет взаимозависимость от выдающего ЦС и принимающего ЦС). В настоящее время для Let’s Encrypt, как крупного и известного ЦС, на текущем этапе развития наиболее важным является самостоятельность в использовании и развитии своего ISRG Root X1. Кроме того, нельзя забывать о том, что проблема с обновлением Android никуда не исчезнет и в будущем.
Именно поэтому Let’s Encrypt заранее предупреждает о будущих возможных проблемах всех участников процесса использования корневых сертификатов , чтобы все успели заблаговременно подготовиться.
Что же можно предложить пользователям старых версий Android в данной ситуации?
Как сообщает Let’s Encrypt, на настоящий момент пока единственным рабочим решением данной проблемы (не считая обновления Android) является установка и последующее использование Firefox Mobile, который на момент написания статьи (ноябрь 2020) поддерживает Android 5.0 и выше. В отличие от большинства браузеров на Android, Firefox поставляется со своим собственным списком доверенных корневых сертификатов. Таким образом, любой, кто установит последнюю версию Firefox, получит возможность воспользоваться обновленным списком доверенных центров сертификации, даже если его операционная система устарела. Больше информации можно получить в разделе community.letsencrypt.org.
Samsung расширяет линейку продуктов по программе дополнительного сервисного обслуживания samsung care | — новости
Москва, 14 августа 2021 г. — Компания Samsung Electronics объявляет о расширении линейки продуктов дополнительного сервисного обслуживания Samsung Care – программы защиты устройств Samsung от механических повреждений, в том числе по истечению срока гарантийного обслуживания. Теперь, благодаря программе Samsung Care , владельцы бытовой техники Samsung cмогут продлить срок гарантии своих устройств на 2 дополнительных года.
На сегодняшний день программа Samsung Care включает сертификаты «Защита экрана» (для смартфонов), а также сертификаты на продление гарантии для смартфонов, телевизоров, а теперь еще и для бытовой техники Samsung, включая холодильники, СВЧ-печи, пылесосы, сушильные и стиральные машины, духовые шкафы и варочные панели.
Сертификат «Защита экрана» в рамках программы Samsung Care позволяет заменить дисплей или заднюю панель смартфона в случае механического повреждения, а также при необходимости аккумулятор. Сертификат «Защита экрана» можно приобрести только одновременно со смартфоном (в одном чеке). Подобный сертификат действует в течение 1 года с момента покупки и помогает его владельцу сэкономить до 65% в случае необходимости ремонта.
Сертификаты, продлевающие гарантию Samsung Care , дают возможность владельцам смартфонов, телевизоров и бытовой техники Samsung устранить недостатки устройств на условиях, указанных в гарантийном талоне в течение срока действия сертификата (на 1, 2 и 4 года в зависимости от типа сертификата). С таким сертификатом экономия может достигать до 90% в сравнении с платным ремонтом.
«Сервис, ориентированный на клиента, является одной из важных составляющих формирования и поддержания лояльности к бренду. Кроме того, растет интерес рынка к дополнительным сервисным продуктам. Учитывая это, мы приняли решение вывести на рынок сертификаты расширенной гарантии Samsung Care и для бытовой техники. Это позволяет предоставлять качественное обслуживание в максимально короткий срок. По нашей статистике 60% ремонтов по сертификатам производятся в течение 1-2 часов, а в оставшихся 40% случаях – не превышают 3 дней», – отметил Ринат Нигматуллин, директор сервисного департамента штаб-квартиры Samsung Electronics по странам СНГ.
Сертификаты Samsung Care для смартфонов и телевизоров можно приобрести в фирменных магазинах Samsung, а также в сетях крупнейших ритейлеров электроники. Список магазинов, а также подробная информация об условиях программы дополнительного сервисного обслуживания Samsung Care указаны на сайте. Сертификаты для бытовой техники Samsung Care поступят в продажу осенью 2021 года.
На сегодняшний день Samsung организует работу крупнейшей сети сервисных центров компании. На территории РФ и СНГ функционирует крупнейшая сеть из более чем 580 авторизованных сервисных центров. Для удобства и комфорта своих пользователей, Samsung развивает разнообразные программы сервисного обслуживания. Среди них: бесплатная доставка техники (смартфоны) для ремонта в сервисные центры в 90 городах России; фирменная выездная служба «Бренд-инженер», чат по техническим вопросам, удаленная настройка техники, а также видеообзоры и инструкции по технике на официальном канале Samsung Russia на YouTube. Единая служба поддержки Samsung работает в круглосуточном режиме и вне зависимости от временной зоны, по номеру 8-800-555-55-55 (бесплатно в пределах России) можно получить информацию о продукции компании, а также проконсультироваться по настройке и оптимизации техники.
Успехи Samsung в области сервиса отмечают и жюри отраслевых премий. Компания получила престижные награды в сфере сервиса, среди которых премия «Компания года» в категории «Потребительские услуги (высокое качество сервиса)» и 5 международных наград «Хрустальная гарнитура®», в том числе в номинации «Лучший контактный центр по обслуживанию клиентов». В апреле 2021 года программа расширенной гарантии Samsung Care заняла 2-ое место в номинации «Лучшая инновация в клиентском опыте» и получила высокую оценку жюри международной премии CX WORLD AWARDS 2021.
Декларация | samsung ru
Мы рады, что вы посетили наш сайт и ознакомились с находящейся на нем информацией. Мы разрешаем распечатывать эту информацию в личных целях и хранить ее на вашем персональном компьютере. Тем не менее, мы хотим проинформировать о некоторых ограничениях юридического характера, установленных нами для всех посетителей основного и дополнительных сайтов Samsung Electronics, и просим соблюдать все изложенные ниже правила.
Сайт содержит информацию, являющуюся собственностью Samsung Electronics. Данная собственность включает в себя, но не ограничивается авторскими правами, торговыми знаками и информацией о технологиях. Все вышеназванное представлено в виде текстов, графики, аудио-, видео- и загружаемых данных, ссылок или кодов к источникам. Корпорация Samsung Electronics сохраняет за собой все права на вышеназванные материалы, предназначенные исключительно для потребителей корпорации Samsung и представленные здесь для вашего удобства. Корпорация не предоставляет лицензий или прав собственности на какие-либо из вышеперечисленных материалов.
Корпорация Samsung Electronics не может гарантировать точность, полноту и надежность информации, изложенной на основном и дополнительном сайтах. Следовательно, вы не можете полностью доверять сведениям, опубликованным на вышеназванных сайтах, пока не получите от нас соответствующее письменное уведомление.
Не полагайтесь полностью на информацию, размещенную на сайте, и не используйте ее для покупки, продажи или любых иных операций с ценными бумагами. Не забывайте, что представленные здесь сведения не всегда соответствуют требованиям о неразглашении информации, предусмотренным распорядительными органами других стран, включая, но не ограничиваясь требованиями Комиссии по операциям с ценными бумагами США.
Информация представлена корпорацией Samsung Electronics «как есть»(без какой-либо поддержки и гарантий). Корпорация подтверждает свой отказ от любых определенных и подразумеваемых гарантий, включая все без исключения гарантии, связанные с покупками, продажами или использованием в определенных целях любых из предоставленных здесь услуг и материалов.
Ни при каких обстоятельствах корпорация Samsung Electronics не несет ответственности за прямой, косвенный, случайный, любой другой ущерб и штрафы в связи с использованием представленных здесь услуг и материалов.
Информация, имеющая отношение к акциям, или любая другая информация, представленная на сайтах, не подразумевает каких-либо предложений со стороны Samsung Electronics в связи с ценными бумагами и не предполагает каких-либо намерений приобрести таковые.
Несмотря на разрешение загружать любые данные с основного или дополнительных сайтов, корпорация Samsung Electronics сохраняет за собой авторские права и торговые знаки на все представленные текстовые и графические материалы. Корпорация не предоставляет права воспроизводить любые из них в какой бы то ни было форме и в каких бы то ни было целях, за исключением личных.
Политика обеспечения секретности в интернете
Корпорация Samsung Electronics прилагает все усилия к обеспечению секретности вашей личной информации в интернете. Мы стремимся к тому, чтобы максимально обезопасить полученную через интернет информацию о вас, независимо от любых, имеющих к этому отношение, обстоятельств. Корпорация Samsung использует предоставленную информацию(если таковая имеется)исключительно в целях определения возможностей использования нашего сайта, развития и усовершенствования его контента. Информация личного характера, полученная нами, может быть использована только при ответе на ваш запрос, обработке заказа или для предоставления вам доступа к специальной информации. В некоторых случаях мы предоставляем доступ к информации об электронных почтовых адресах подразделениям корпорации Samsung, располагающим еще более совершенными механизмами обеспечения секретности информации.
Для того чтобы обеспечить вас информацией определенного рода, могут быть использованы cookie. Они представляют собой небольшой фрагмент информации, которую веб-сайт может отправить вашему браузеру и которая впоследствии хранится на жестком диске вашего компьютера с тем, чтобы мы смогли легко опознать вас во время последующих посещений сайта. Вы можете настроить браузер так, чтобы он извещал вас о получении cookie.
Обратите внимание на то, что сайт корпорации Samsung Electronics содержит ссылки и обращения к другим сайтам. Мы стараемся публиковать ссылки только на те сайты, которые, так же как и мы, славятся высоким качеством информации и уважением по отношению к конфиденциальности данных. Тем не менее, мы не можем отвечать за содержание других сайтов и их политику обеспечения секретности информации.
Информация о гарантии на продукты samsung | samsung ru
Для устройств, приобретенных за границей и/или не имеющих локальной сервисной гарантии производителя, в авторизованных сервисных центрах (АСЦ) Samsung в России доступно негарантийное сервисное обслуживание!*
Если продукт, приобретённый за границей, неисправен, вы можете обратиться в один из АСЦ для платного ремонта.
Специалисты АСЦ проведут диагностику и, в случае вашего согласия, окажут необходимые услуги сервиса. Сроки проведения ремонта будут зависеть от характера неисправности, периода поставки необходимых запчастей из-за рубежа и иных факторов.**
За подробностями вы можете обратиться по номеру 8-800-555-55-55 или в любой АСЦ.
* Возможность ремонта зависит от характера повреждений/неисправности. Устройства, предназначенные для эксплуатации в другой климатической зоне или условиях окружающей среды; настроенные на стандарты связи или совместимые с сетевыми адаптерами, отличными от локальных и т.п. являются неремонтопригодными.
** Вам может быть отказано в ремонте, если необходимых запасных частей нет в наличии.
Изготовитель не несет гарантийные обязательства и не производит бесплатное сервисное обслуживание изделия в следующих случаях:
а) если изделие, предназначенное для личных (бытовых, семейных) нужд, использовалось для осуществления предпринимательской деятельности, а также в иных целях, не соответствующих его прямому назначению;
б) нарушения правил и условий эксплуатации, установки изделия, изложенных в Руководстве пользователя и другой документации, передаваемой потребителю в комплекте с изделием;
в) если изделие имеет следы неквалифицированного ремонта (использование неоригинальных запасных частей, вскрытие и ремонт изделия лицами, не уполномоченными Изготовителем);
г) если дефект вызван изменением конструкции или схемы изделия, подключением внешних устройств, не предусмотренных Изготовителем;
д) если дефект вызван действием непреодолимых сил, несчастными случаями, умышленными или неосторожными действиями потребителя или третьих лиц;
е) если обнаружены недостатки возникшие после передачи изделия потребителю вследствие механического повреждения, воздействия влаги, высоких или низких температур, коррозии, окисления, попадания внутрь посторонних предметов, веществ, других жидкостей, насекомых или животных;
ж) если требуется чистка аудио – видео головок, приводов для считывания информации с носителей различных типов;
з) если повреждения (недостатки) вызваны воздействием компьютерных вирусов и аналогичных им программ; установкой, сменой или удалением паролей (кодов) изделия, модификацией и (или) переустановкой предустановленного ПО изделия, установкой и использованием ПО третьих производителей (неоригинального), форматированием накопителей на жестких магнитных дисках, применением сервисных кодов;
и) если дефект возник вследствие естественного износа при эксплуатации изделия. При этом под естественным износом понимаются последствия эксплуатации изделия, вызвавшие ухудшение их технического состояния и внешнего вида из-за длительного использования данного изделия;
к) если повреждения (недостатки) вызваны несоответствием стандартам или техническим регламентам питающих, кабельных, телекоммуникационных сетей, мощности радиосигнала, в том числе из-за особенностей рельефа и других подобных внешних факторов, использования изделия на границе или вне зоны действия сети, подключением к изделию других несоответствующих или неисправных внешних устройств;
л) если повреждения вызваны использованием нестандартных (неоригинальных) и (или) некачественных (поврежденных) расходных материалов, принадлежностей, запасных частей, элементов питания, носителей информации различных типов (включая, но, не ограничиваясь аудио–, видеокассетами, CD, DVD дисками, картами памяти, SIM картами, картриджами);
м) если недостатки вызваны получением, установкой и использованием несовместимого контента (мелодии, графические, видео и другие файлы, приложения Java и подобные им программы);
н) если данные, указанные на маркировочных этикетках изделия, исправлены, стерты, а также в случае отсутствия маркировочных этикеток на изделии.
Поиск trustmanager
Архитектура шифрования Java (JCA) – очень гибкая архитектура, и ее общая структура выглядит следующим образом:
Приложения Java получают доступ к службам шифрования через уровень интерфейса. В состав уровня интерфейса входят JAAS (Java Authentication Authorization Service, Java Authentication and Authorization API), JSSE (Java Secure Socket Extension, Java Secure Socket Extension)
JCA также определяет набор интерфейсов поставщика услуг шифрования, напримерjavax.net.ssl.SSLContextSpi с участием javax.net.ssl.TrustManagerFactorySpi Подождите. Разработчики служб шифрования реализуют эти интерфейсы и передаютjava.security.Security Предоставленный интерфейс зарегистрирован в структуре JCA.
Для системы AndroidTrustManagerFactory Регистрация службы шифрования находится наActivityThread изhandleBindApplication() Соответствующий код (находится вframeworks/base/core/java/android/app/ActivityThread.java)следующим образом:
// Install the Network Security Config Provider. This must happen before the application
// code is loaded to prevent issues with instances of TLS objects being created before
// the provider is installed.
Trace.traceBegin(Trace.TRACE_TAG_ACTIVITY_MANAGER, "NetworkSecurityConfigProvider.install");
NetworkSecurityConfigProvider.install(appContext);
Trace.traceEnd(Trace.TRACE_TAG_ACTIVITY_MANAGER);NetworkSecurityConfigProvider Определение класса (находится вframeworks/base/core/java/android/security/net/config/NetworkSecurityConfigProvider.java)следующим образом:
package android.security.net.config;
import android.content.Context;
import java.security.Security;
import java.security.Provider;
/** @hide */publicfinalclassNetworkSecurityConfigProviderextendsProvider {privatestaticfinal String PREFIX =
NetworkSecurityConfigProvider.class.getPackage().getName() ".";
publicNetworkSecurityConfigProvider() {
super("AndroidNSSP", 1.0, "Android Network Security Policy Provider");
put("TrustManagerFactory.PKIX", PREFIX "RootTrustManagerFactorySpi");
put("Alg.Alias.TrustManagerFactory.X509", "PKIX");
}
publicstaticvoidinstall(Context context) {
ApplicationConfig config = new ApplicationConfig(new ManifestConfigSource(context));
ApplicationConfig.setDefaultInstance(config);
int pos = Security.insertProviderAt(new NetworkSecurityConfigProvider(), 1);
if (pos != 1) {
thrownew RuntimeException("Failed to install provider as highest priority provider."
" Provider was installed at position " pos);
}
libcore.net.NetworkSecurityPolicy.setInstance(new ConfigNetworkSecurityPolicy(config));
}
}ВNetworkSecurityConfigProvider.install() В методе передайтеSecurity.insertProviderAt() БудетNetworkSecurityConfigProvider Зарегистрирован в рамках JCA. Из NetworkSecurityConfigProvider Конструктор видит, что онandroid.security.net.config.RootTrustManagerFactorySpi Внесите в структуру JCA.
android.security.net.config.RootTrustManagerFactorySpi Определение (находится вframeworks/base/core/java/android/security/net/config/RootTrustManagerFactorySpi.java)следующим образом:
package android.security.net.config;
import android.util.Pair;
import java.security.InvalidAlgorithmParameterException;
import java.security.InvalidParameterException;
import java.security.KeyStore;
import java.security.KeyStoreException;
import java.security.NoSuchAlgorithmException;
import java.security.Provider;
import java.security.Security;
import java.util.Set;
import javax.net.ssl.ManagerFactoryParameters;
import javax.net.ssl.TrustManager;
import javax.net.ssl.TrustManagerFactory;
import javax.net.ssl.TrustManagerFactorySpi;
import com.android.internal.annotations.VisibleForTesting;
/** @hide */publicclassRootTrustManagerFactorySpiextendsTrustManagerFactorySpi {private ApplicationConfig mApplicationConfig;
private NetworkSecurityConfig mConfig;
@OverridepublicvoidengineInit(ManagerFactoryParameters spec)
throws InvalidAlgorithmParameterException {
if (!(spec instanceof ApplicationConfigParameters)) {
thrownew InvalidAlgorithmParameterException("Unsupported spec: " spec ". Only "
ApplicationConfigParameters.class.getName() " supported");
}
mApplicationConfig = ((ApplicationConfigParameters) spec).config;
}
@OverridepublicvoidengineInit(KeyStore ks) throws KeyStoreException {
if (ks != null) {
mApplicationConfig = new ApplicationConfig(new KeyStoreConfigSource(ks));
} else {
mApplicationConfig = ApplicationConfig.getDefaultInstance();
}
}
@Overridepublic TrustManager[] engineGetTrustManagers() {
if (mApplicationConfig == null) {
thrownew IllegalStateException("TrustManagerFactory not initialized");
}
returnnew TrustManager[] { mApplicationConfig.getTrustManager() };
}
@VisibleForTestingpublicstaticfinalclassApplicationConfigParametersimplementsManagerFactoryParameters {publicfinal ApplicationConfig config;
publicApplicationConfigParameters(ApplicationConfig config) {
this.config = config;
}
}
}RootTrustManagerFactorySpi изTrustManager Из ApplicationConfig,ApplicationConfig СреднийTrustManager Связанный код (находится вframeworks/base/core/java/android/security/net/config/ApplicationConfig.java)следующим образом:
publicfinalclassApplicationConfig {privatestatic ApplicationConfig sInstance;
privatestatic Object sLock = new Object();
private Set<Pair<Domain, NetworkSecurityConfig>> mConfigs;
private NetworkSecurityConfig mDefaultConfig;
private X509TrustManager mTrustManager;
. . . . . .
/**
* Returns the {@link X509TrustManager} that implements the checking of trust anchors and
* certificate pinning based on this configuration.
*/public X509TrustManager getTrustManager() {
ensureInitialized();
return mTrustManager;
}
. . . . . .
privatevoidensureInitialized() {
synchronized(mLock) {
if (mInitialized) {
return;
}
mConfigs = mConfigSource.getPerDomainConfigs();
mDefaultConfig = mConfigSource.getDefaultConfig();
mConfigSource = null;
mTrustManager = new RootTrustManager(this);
mInitialized = true;
}
}ApplicationConfig изTrustManager Да RootTrustManager。
Давайте посмотрим на уровень интерфейса JCAjavax.net.ssl.TrustManagerFactory Определение:
Проверка легальности цепочки сертификатов
Каким образом корневое хранилище сертификатов используется для процесса проверки сертификата при подтверждении связи SSL / TLS с корневым хранилищем сертификатов?
Срок действия сертификата определяется стандартной библиотекой Java.javax.net.ssl.SSLSocket ВstartHandshake() Метод завершен. Для системы AndroidSSLSocket Эта реализация, основанная на реализации библиотеки OpenSSL, реализованаexternal/conscrypt Модуль предоставлен,SSLSocket Реализуется какOpenSSLSocketImpl Класс (находится вexternal/conscrypt/src/main/java/org/conscrypt/OpenSSLSocketImpl.java)。
OpenSSLSocketImpl.startHandshake() Подтверждение SSL / TLS – чрезвычайно деликатный процесс. Мы пропускаем подробный процесс установления связи и сосредотачиваемся на части проверки сертификата.
OpenSSLSocketImpl.startHandshake() ПроходятNativeCrypto Класс (находится вexternal/conscrypt/src/main/java/org/conscrypt/NativeCrypto.java) Статический метод локального слояSSL_do_handshake() Метод выполняет операцию рукопожатия:
/**
* Returns the sslSessionNativePointer of the negotiated session. If this is
* a server negotiation, supplying the {@code alpnProtocols} will enable
* ALPN negotiation.
*/publicstaticnativelongSSL_do_handshake(long sslNativePointer,
FileDescriptor fd,
SSLHandshakeCallbacks shc,
int timeoutMillis,
boolean client_mode,
byte[] npnProtocols,
byte[] alpnProtocols)
throws SSLException, SocketTimeoutException, CertificateException;NativeCrypto Класс определяет набор обратных вызовов, которые будут вызываться кодом OpenSSL C / C , связанным с рукопожатием SSL на локальном уровне.SSLHandshakeCallbacks,над SSL_do_handshake() В методе этот набор обратных вызовов передается на локальный уровень в качестве параметров.
SSLHandshakeCallbacks Это определяется следующим образом:
/**
* A collection of callbacks from the native OpenSSL code that are
* related to the SSL handshake initiated by SSL_do_handshake.
*/publicinterfaceSSLHandshakeCallbacks {/**
* Verify that we trust the certificate chain is trusted.
*
* @param sslSessionNativePtr pointer to a reference of the SSL_SESSION
* @param certificateChainRefs chain of X.509 certificate references
* @param authMethod auth algorithm name
*
* @throws CertificateException if the certificate is untrusted
*/publicvoidverifyCertificateChain(long sslSessionNativePtr, long[] certificateChainRefs,
String authMethod) throws CertificateException;
/**
* Called on an SSL client when the server requests (or
* requires a certificate). The client can respond by using
* SSL_use_certificate and SSL_use_PrivateKey to set a
* certificate if has an appropriate one available, similar to
* how the server provides its certificate.
*
* @param keyTypes key types supported by the server,
* convertible to strings with #keyType
* @param asn1DerEncodedX500Principals CAs known to the server
*/publicvoidclientCertificateRequested(byte[] keyTypes,
byte[][] asn1DerEncodedX500Principals)
throws CertificateEncodingException, SSLException;
/**
* Gets the key to be used in client mode for this connection in Pre-Shared Key (PSK) key
* exchange.
*
* @param identityHint PSK identity hint provided by the server or {@code null} if no hint
* provided.
* @param identity buffer to be populated with PSK identity (NULL-terminated modified UTF-8)
* by this method. This identity will be provided to the server.
* @param key buffer to be populated with key material by this method.
*
* @return number of bytes this method stored in the {@code key} buffer or {@code 0} if an
* error occurred in which case the handshake will be aborted.
*/publicintclientPSKKeyRequested(String identityHint, byte[] identity, byte[] key);
/**
* Gets the key to be used in server mode for this connection in Pre-Shared Key (PSK) key
* exchange.
*
* @param identityHint PSK identity hint provided by this server to the client or
* {@code null} if no hint was provided.
* @param identity PSK identity provided by the client.
* @param key buffer to be populated with key material by this method.
*
* @return number of bytes this method stored in the {@code key} buffer or {@code 0} if an
* error occurred in which case the handshake will be aborted.
*/publicintserverPSKKeyRequested(String identityHint, String identity, byte[] key);
/**
* Called when SSL state changes. This could be handshake completion.
*/publicvoidonSSLStateChange(long sslSessionNativePtr, int type, int val);
}среди нихverifyCertificateChain()Обратный вызов используется для проверки сертификата сервера. Система Android использует этот обратный вызов для подключения модуля управления библиотекой корневых сертификатов с подтверждением связи SSL / TLS и проверкой подлинности базового OpenSSL.
SSLHandshakeCallbacks Обратный звонок отOpenSSLSocketImpl достичь,verifyCertificateChain() Реализация следующая:
@SuppressWarnings("unused") @OverridepublicvoidverifyCertificateChain(long sslSessionNativePtr, long[] certRefs, String authMethod)
throws CertificateException {
try {
X509TrustManager x509tm = sslParameters.getX509TrustManager();
if (x509tm == null) {
thrownew CertificateException("No X.509 TrustManager");
}
if (certRefs == null || certRefs.length == 0) {
thrownew SSLException("Peer sent no certificate");
}
OpenSSLX509Certificate[] peerCertChain = new OpenSSLX509Certificate[certRefs.length];
for (int i = 0; i < certRefs.length; i ) {
peerCertChain[i] = new OpenSSLX509Certificate(certRefs[i]);
}
handshakeSession = new OpenSSLSessionImpl(sslSessionNativePtr, null, peerCertChain,
getHostnameOrIP(), getPort(), null);
boolean client = sslParameters.getUseClientMode();
if (client) {
Platform.checkServerTrusted(x509tm, peerCertChain, authMethod, this);
if (sslParameters.isCTVerificationEnabled(getHostname())) {
byte[] tlsData = NativeCrypto.SSL_get_signed_cert_timestamp_list(
sslNativePointer);
byte[] ocspData = NativeCrypto.SSL_get_ocsp_response(sslNativePointer);
CTVerifier ctVerifier = sslParameters.getCTVerifier();
CTVerificationResult result =
ctVerifier.verifySignedCertificateTimestamps(peerCertChain, tlsData, ocspData);
if (result.getValidSCTs().size() == 0) {
thrownew CertificateException("No valid SCT found");
}
}
} else {
String authType = peerCertChain[0].getPublicKey().getAlgorithm();
Platform.checkClientTrusted(x509tm, peerCertChain, authType, this);
}
} catch (CertificateException e) {
throw e;
} catch (Exception e) {
thrownew CertificateException(e);
} finally {
handshakeSession = null;
}
}OpenSSLSocketImpl изverifyCertificateChain() Из sslParameters ПолучитьX509TrustManagerА потом вPlatform.checkServerTrusted() (com.android.org.conscrypt.Platform,роды external/conscrypt/src/compat/java/org/conscrypt/Platform.java) При выполнении проверки действительности сертификата на стороне сервера:
publicstaticvoidcheckServerTrusted(X509TrustManager tm, X509Certificate[] chain,
String authType, OpenSSLSocketImpl socket) throws CertificateException {
if (!checkTrusted("checkServerTrusted", tm, chain, authType, Socket.class, socket)
&& !checkTrusted("checkServerTrusted", tm, chain, authType, String.class,
socket.getHandshakeSession().getPeerHost())) {
tm.checkServerTrusted(chain, authType);
}
}Platform.checkServerTrusted() ВыполняяX509TrustManager изcheckServerTrusted() Метод выполняет проверку действительности сертификата.
X509TrustManager Из OpenSSLSocketImpl изsslParameters, ЧтоsslParameters Откуда это?OpenSSLSocketImpl изsslParameters Передано создателем объекта:
publicclassOpenSSLSocketImplextendsjavax.net.ssl.SSLSocketimplementsNativeCrypto.SSLHandshakeCallbacks, SSLParametersImpl.AliasChooser,
SSLParametersImpl.PSKCallbacks {
. . . . . .
privatefinal SSLParametersImpl sslParameters;
. . . . . .
protectedOpenSSLSocketImpl(SSLParametersImpl sslParameters) throws IOException {
this.socket = this;
this.peerHostname = null;
this.peerPort = -1;
this.autoClose = false;
this.sslParameters = sslParameters;
}
protectedOpenSSLSocketImpl(String hostname, int port, SSLParametersImpl sslParameters)
throws IOException {
super(hostname, port);
this.socket = this;
this.peerHostname = hostname;
this.peerPort = port;
this.autoClose = false;
this.sslParameters = sslParameters;
}
protectedOpenSSLSocketImpl(InetAddress address, int port, SSLParametersImpl sslParameters)
throws IOException {
super(address, port);
this.socket = this;
this.peerHostname = null;
this.peerPort = -1;
this.autoClose = false;
this.sslParameters = sslParameters;
}
protectedOpenSSLSocketImpl(String hostname, int port,
InetAddress clientAddress, int clientPort,
SSLParametersImpl sslParameters) throws IOException {
super(hostname, port, clientAddress, clientPort);
this.socket = this;
this.peerHostname = hostname;
this.peerPort = port;
this.autoClose = false;
this.sslParameters = sslParameters;
}
protectedOpenSSLSocketImpl(InetAddress address, int port,
InetAddress clientAddress, int clientPort,
SSLParametersImpl sslParameters) throws IOException {
super(address, port, clientAddress, clientPort);
this.socket = this;
this.peerHostname = null;
this.peerPort = -1;
this.autoClose = false;
this.sslParameters = sslParameters;
}
/**
* Create an SSL socket that wraps another socket. Invoked by
* OpenSSLSocketImplWrapper constructor.
*/protectedOpenSSLSocketImpl(Socket socket, String hostname, int port,
boolean autoClose, SSLParametersImpl sslParameters) throws IOException {
this.socket = socket;
this.peerHostname = hostname;
this.peerPort = port;
this.autoClose = autoClose;
this.sslParameters = sslParameters;
}Другими словами,OpenSSLSocketImpl изsslParameters Из javax.net.ssl.SSLSocketFactory,который OpenSSLSocketFactoryImpl。OpenSSLSocketFactoryImpl Определение (находится вexternal/conscrypt/src/main/java/org/conscrypt/OpenSSLSocketFactoryImpl.java)следующим образом:
package org.conscrypt;
import java.io.IOException;
import java.net.InetAddress;
import java.net.Socket;
import java.net.UnknownHostException;
import java.security.KeyManagementException;
publicclassOpenSSLSocketFactoryImplextendsjavax.net.ssl.SSLSocketFactory {privatefinal SSLParametersImpl sslParameters;
privatefinal IOException instantiationException;
publicOpenSSLSocketFactoryImpl() {
SSLParametersImpl sslParametersLocal = null;
IOException instantiationExceptionLocal = null;
try {
sslParametersLocal = SSLParametersImpl.getDefault();
} catch (KeyManagementException e) {
instantiationExceptionLocal = new IOException("Delayed instantiation exception:");
instantiationExceptionLocal.initCause(e);
}
this.sslParameters = sslParametersLocal;
this.instantiationException = instantiationExceptionLocal;
}
publicOpenSSLSocketFactoryImpl(SSLParametersImpl sslParameters) {
this.sslParameters = sslParameters;
this.instantiationException = null;
}
@Overridepublic String[] getDefaultCipherSuites() {
return sslParameters.getEnabledCipherSuites();
}
@Overridepublic String[] getSupportedCipherSuites() {
return NativeCrypto.getSupportedCipherSuites();
}
@Overridepublic Socket createSocket() throws IOException {
if (instantiationException != null) {
throw instantiationException;
}
returnnew OpenSSLSocketImpl((SSLParametersImpl) sslParameters.clone());
}
@Overridepublic Socket createSocket(String hostname, int port) throws IOException, UnknownHostException {
returnnew OpenSSLSocketImpl(hostname, port, (SSLParametersImpl) sslParameters.clone());
}
@Overridepublic Socket createSocket(String hostname, int port, InetAddress localHost, int localPort)
throws IOException, UnknownHostException {
returnnew OpenSSLSocketImpl(hostname,
port,
localHost,
localPort,
(SSLParametersImpl) sslParameters.clone());
}
@Overridepublic Socket createSocket(InetAddress address, int port) throws IOException {
returnnew OpenSSLSocketImpl(address, port, (SSLParametersImpl) sslParameters.clone());
}
@Overridepublic Socket createSocket(InetAddress address,
int port,
InetAddress localAddress,
int localPort)
throws IOException {
returnnew OpenSSLSocketImpl(address,
port,
localAddress,
localPort,
(SSLParametersImpl) sslParameters.clone());
}
@Overridepublic Socket createSocket(Socket s, String hostname, int port, boolean autoClose)
throws IOException {
returnnew OpenSSLSocketImplWrapper(s,
hostname,
port,
autoClose,
(SSLParametersImpl) sslParameters.clone());
}
}OpenSSLSocketImpl Основная ответственность – установить параметры SSL / TLS.SSLParametersImpl Придерживайтесь SSLSocket. В основном смотрите по умолчаниюSSLParametersImpl изX509TrustManager Что находится (находится вexternal/conscrypt/src/main/java/org/conscrypt/SSLParametersImpl.java ):
/**
* Initializes the parameters. Naturally this constructor is used
* in SSLContextImpl.engineInit method which directly passes its
* parameters. In other words this constructor holds all
* the functionality provided by SSLContext.init method.
* See {@link javax.net.ssl.SSLContext#init(KeyManager[],TrustManager[],
* SecureRandom)} for more information
*/protectedSSLParametersImpl(KeyManager[] kms, TrustManager[] tms,
SecureRandom sr, ClientSessionContext clientSessionContext,
ServerSessionContext serverSessionContext, String[] protocols)
throws KeyManagementException {
this.serverSessionContext = serverSessionContext;
this.clientSessionContext = clientSessionContext;
if (kms == null) {
x509KeyManager = getDefaultX509KeyManager();
pskKeyManager = null;
} else {
x509KeyManager = findFirstX509KeyManager(kms);
pskKeyManager = findFirstPSKKeyManager(kms);
}
if (tms == null) {
x509TrustManager = getDefaultX509TrustManager();
} else {
x509TrustManager = findFirstX509TrustManager(tms);
}
secureRandom = sr;
enabledProtocols = NativeCrypto.checkEnabledProtocols(
protocols == null ? NativeCrypto.DEFAULT_PROTOCOLS : protocols).clone();
boolean x509CipherSuitesNeeded = (x509KeyManager != null) || (x509TrustManager != null);
boolean pskCipherSuitesNeeded = pskKeyManager != null;
enabledCipherSuites = getDefaultCipherSuites(
x509CipherSuitesNeeded, pskCipherSuitesNeeded);
}
protectedstatic SSLParametersImpl getDefault() throws KeyManagementException {
SSLParametersImpl result = defaultParameters;
if (result == null) {
defaultParameters = result = new SSLParametersImpl(null,
null,
null,
new ClientSessionContext(),
new ServerSessionContext(),
null);
}
return (SSLParametersImpl) result.clone();
}
. . . . . .
/**
* @return X.509 trust manager or {@code null} for none.
*/protected X509TrustManager getX509TrustManager() {
return x509TrustManager;
}
. . . . . .
/**
* Gets the default X.509 trust manager.
* <p>
* TODO: Move this to a published API under dalvik.system.
*/publicstatic X509TrustManager getDefaultX509TrustManager()
throws KeyManagementException {
X509TrustManager result = defaultX509TrustManager;
if (result == null) {
defaultX509TrustManager = result = createDefaultX509TrustManager();
}
return result;
}
privatestatic X509TrustManager createDefaultX509TrustManager()
throws KeyManagementException {
try {
String algorithm = TrustManagerFactory.getDefaultAlgorithm();
TrustManagerFactory tmf = TrustManagerFactory.getInstance(algorithm);
tmf.init((KeyStore) null);
TrustManager[] tms = tmf.getTrustManagers();
X509TrustManager trustManager = findFirstX509TrustManager(tms);
if (trustManager == null) {
thrownew KeyManagementException(
"No X509TrustManager in among default TrustManagers: "
Arrays.toString(tms));
}
return trustManager;
} catch (NoSuchAlgorithmException e) {
thrownew KeyManagementException(e);
} catch (KeyStoreException e) {
thrownew KeyManagementException(e);
}
}БудетcreateDefaultX509TrustManager() Скопируйте код в наше приложение, как показано ниже:
private X509TrustManager systemDefaultTrustManager() {
try {
TrustManagerFactory trustManagerFactory = TrustManagerFactory.getInstance(
TrustManagerFactory.getDefaultAlgorithm());
trustManagerFactory.init((KeyStore) null);
TrustManager[] trustManagers = trustManagerFactory.getTrustManagers();
if (trustManagers.length != 1 || !(trustManagers[0] instanceof X509TrustManager)) {
thrownew IllegalStateException("Unexpected default trust managers:"
Arrays.toString(trustManagers));
}
return (X509TrustManager) trustManagers[0];
} catch (GeneralSecurityException e) {
thrownew AssertionError();
}
}Прервите точку во время выполнения приложения и подтвердите системное значение по умолчанию с помощью Android StudioX509TrustManager Что это такое, подтвердить несложно, этоandroid.security.net.config.RootTrustManager。android.security.net.config.
Управление корневым сертификатом android
В репозитории исходного кода AOSP корневой сертификат CA в основном хранится вsystem/ca-certificates Каталог, а в системе Android он хранится в/system/etc/security/ В каталоге возьмем в качестве примера устройство Pixel системы Android 7.1.1:
-----------------.--------.среди них cacerts_google Корневой сертификат в каталоге в основном используется дляsystem/update_engine、external/libbrillo с участием system/core/crash_reporter И другие модули,cacerts Корневой сертификат в каталоге используется для всех приложений.cacerts Корневой сертификат в каталоге, то есть библиотека корневых сертификатов системы Android, выглядит следующим образом:
---------.--------.--------.--------.--------.--------.--------.--------.--------.--------.--------.--------.--------.......Все это сертификаты X.509 в формате PEM. Система Android прошлаSystemCertificateSource、DirectoryCertificateSource с участием CertificateSource Библиотека корневых сертификатов системы управления.CertificateSourceОпределение (находится вframeworks/base/core/java/android/security/net/config/CertificateSource.java)
package android.security.net.config;
import java.security.cert.X509Certificate;
import java.util.Set;
/** @hide */publicinterfaceCertificateSource {
Set<X509Certificate> getCertificates();
X509Certificate findBySubjectAndPublicKey(X509Certificate cert);
X509Certificate findByIssuerAndSignature(X509Certificate cert);
Set<X509Certificate> findAllByIssuerAndSignature(X509Certificate cert);
void handleTrustStorageUpdate();
}DirectoryCertificateSource Класс основан на библиотеке корневых сертификатов, хранящейся в виде файла корневого сертификата, отдельно хранящегося в файловой системе, и обеспечивает операции создания, получения и поиска сертификатов. Определение этого класса (находится вframeworks/base/core/java/android/security/net/config/DirectoryCertificateSource.java)следующим образом: