Rapporti Kitkat Android: "La rete può essere monitorata da una terza parte sconosciuta" quando si utilizza una CA radice non predefinita

8

La mia azienda utilizza un PKI privato per gestire tali scenari come

  • Autorità reciproca (TLS) a un sito Web che utilizza i certificati client
  • Certificati del server Web SSL su una rete Intranet (una volta stabilita una sessione VPN).
  • Email sicura S / MIME.
  • Autenticazione Activesync

Durante l'aggiornamento di Android a Kitkat la presenza di una radice non predefinita certificato genera questi avvisi

e

È possibile rimuovere questo avviso per un utente root , o caricando il certificato in Google Apps (e pagando $ 5 per utente / mese), tuttavia sto cercando una soluzione che non incorrere in questo costo inutile.

Diverse persone hanno inserito questo come un difetto nel codice FOSS, tuttavia il numero # 62076 (interpretato da 121 persone) è stato chiuso come "design". Modifica: questo problema è stato riaperto in numero 82036 per favore impersonalo per votare come un problema, o commentalo se necessario.

Attraverso i test ho verificato che questo errore si verifica ancora quando si utilizzano i vincoli di nome e si limita lo scopo EKU della nuova CA principale. (S / MIME, autenticazione client, ecc.)

  • C'è un modo per aggiungere un certificato alle radici attendibili su un telefono Android che non crei questo errore? (nella versione attuale o futura)

  • Le root attendibili non predefinite, in pratica, sono più problematiche rispetto all'elenco CA predefinito (in altre parole, Google risolve il problema sbagliato?)

  • È ragionevole consentire a un certificato radice che è correttamente vincolato (alla radice) dagli usi EKU, o Vincoli di nome per generare un avviso diverso o una serie di finestre di dialogo di approvazione?

posta random65537 23.06.2014 - 22:15
fonte

2 risposte

6

Per rispondere alla tua prima domanda:

Per quanto ne so, non c'è modo di aggirare questo. È una funzione di sicurezza.

Per rispondere alla tua seconda domanda:

Sì, i certificati radice attendibili non predefiniti sono sicuramente potenzialmente problematici. Sono spesso abusati. A volte vengono utilizzati per il monitoraggio del luogo di lavoro o del traffico (che è potenzialmente OK se adeguatamente divulgati, sebbene possa ancora sembrare abbozzato a molti), ma a volte vengono anche utilizzati da spyware, app malevoli scritte per indagare sulla tua attività e altri roba icky.

Quindi, è un compromesso tra (a) il rischio di spaventare gli utenti, quando l'utente era già a conoscenza e non succederà niente di male, se si mostra l'avvertimento, vs (b) il rischio che gli utenti vengano spiati senza la loro consapevolezza, se non mostri l'avvertimento. Gli sviluppatori Android presumibilmente hanno dovuto fare una valutazione sulla gravità relativa e sulla prevalenza di questi due rischi, e presumibilmente sono venuti dalla parte dell'informativa dell'utente. Non sono nella posizione di formare un'opinione indipendente su questa decisione, ma si può capire perché potrebbero aver fatto questa scelta.

Sei collegato al problema sul bug tracker Android. Bene, se guardi commento 8 , vedrai una spiegazione da Sviluppatore Android del motivo per cui hanno scelto questo comportamento. Vedi anche commento 39 per un altro scenario. Quindi sì, c'è una ragione valida per farlo; se sei d'accordo con il loro giudizio o no, questa è una spiegazione pubblica del loro ragionamento.

    
risposta data 24.06.2014 - 03:02
fonte
0

Trovo che questa "caratteristica" sia abbastanza ossuta. Le uniche persone che lo capiscono sono gli utenti tecnici, che vorrebbero anche disattivarlo. Gli utenti occasionali lo ignoreranno non appena la loro persona di supporto tecnico glielo chiederà, il che aggiunge un'altra cosa che l'utente non tecnico sta facendo clic e / o ignorando, sconfiggendo così il punto dell'ostinazione (sp?) Di questa "caratteristica".

Nella ricerca di una soluzione, ho trovato questo Q & A, ma ho anche trovato un'app che sposta i certs dalla terra degli utenti a quella sistemica. " Move Certs !" su FDROID, per gentile concessione di How To Geek .

    
risposta data 03.01.2017 - 20:32
fonte