La mia azienda utilizza un PKI privato per gestire tali scenari come
- Autorità reciproca (TLS) a un sito Web che utilizza i certificati client
- Certificati del server Web SSL su una rete Intranet (una volta stabilita una sessione VPN).
- Email sicura S / MIME.
- Autenticazione Activesync
Durante l'aggiornamento di Android a Kitkat la presenza di una radice non predefinita certificato genera questi avvisi
e
È possibile rimuovere questo avviso per un utente root , o caricando il certificato in Google Apps (e pagando $ 5 per utente / mese), tuttavia sto cercando una soluzione che non incorrere in questo costo inutile.
Diverse persone hanno inserito questo come un difetto nel codice FOSS, tuttavia il numero # 62076 (interpretato da 121 persone) è stato chiuso come "design". Modifica: questo problema è stato riaperto in numero 82036 per favore impersonalo per votare come un problema, o commentalo se necessario.
Attraverso i test ho verificato che questo errore si verifica ancora quando si utilizzano i vincoli di nome e si limita lo scopo EKU della nuova CA principale. (S / MIME, autenticazione client, ecc.)
-
C'è un modo per aggiungere un certificato alle radici attendibili su un telefono Android che non crei questo errore? (nella versione attuale o futura)
-
Le root attendibili non predefinite, in pratica, sono più problematiche rispetto all'elenco CA predefinito (in altre parole, Google risolve il problema sbagliato?)
-
È ragionevole consentire a un certificato radice che è correttamente vincolato (alla radice) dagli usi EKU, o Vincoli di nome per generare un avviso diverso o una serie di finestre di dialogo di approvazione?