Immaginate questo: Un bel giorno sbloccate il vostro telefono (certamente molto vecchio) per cercare qualcosa su internet, ma vi rendete conto che la maggior parte, se non tutti, i siti web si rifiutano di connettersi, lanciando invece avvisi di sicurezza. Questa situazione si è quasi verificata per i telefoni con Android 7 o più vecchi nel 2021, quando un cosiddetto certificato root è scaduto. Il problema poteva essere evitato grazie a un modo bizzarro in cui Android gestisce i certificati scaduti, ma Google sta cercando una soluzione più permanente. Potrebbe essere introdotta in Android 14.
Come ha scoperto Mishaal Rahman, senior technical editor di Esper.io, nel codice open source di Android, Google sta lavorando a un nuovo modulo mainline che consentirà di aggiornare i certificati root al volo. Al momento, i certificati di root vengono aggiornati come parte degli aggiornamenti completi del sistema, che raramente arrivano ai dispositivi più vecchi che potrebbero correre il rischio di trovarsi nel territorio dei certificati di root obsoleti. Invece di far parte del pacchetto di sistema, il nuovo modulo di certificazione può essere aggiornato tramite i Google Play Services. Ciò consente a Google di inviare gli aggiornamenti man mano che sono necessari, rendendo possibile la connessione dei dispositivi a tutti i siti web visitabili su internet. È simile a come sono stati impostati da tempo molti componenti di Android, tra cui il Bluetooth.
Questo nuovo approccio è positivo anche per un altro motivo. I certificati radice si basano principalmente sulla fiducia e sono quelli che permettono ai siti di stabilire connessioni sicure. Una di queste autorità di certificazione root, TrustCor, è stata recentemente individuata in relazione a un’azienda che fornisce servizi di intelligence con spyware. Sebbene non siano stati riscontrati problemi con TrustCor stessa, le aziende si stanno rapidamente allontanando dall’azienda per il timore che possa esserci qualcosa di sospetto. Dopo tutto, non sarebbe bello se i servizi di intelligence potessero vedere tutti i dati crittografati scambiati tra un server e un utente. Sebbene Android stia rimuovendo il supporto per il certificato di TrustCor negli aggiornamenti di sicurezza del sistema, sarebbe preferibile che Google potesse disattivare il certificato più rapidamente.
Il problema dei certificati root obsoleti è particolarmente grave su Android. Qui la maggior parte delle app e dei browser si affida ai certificati root integrati per verificare le connessioni sicure, mentre su Windows e macOS molte applicazioni hanno in dotazione i propri certificati root aggiornabili. In effetti, Chrome ha introdotto solo di recente un proprio root store, che è il nome del luogo in cui vengono salvati i certificati root. Su Android, un esempio importante di applicazione che si affida al proprio root store è Firefox. Ciò significa che il browser continuerebbe a funzionare sui telefoni Android più vecchi, anche se il certificato root di sistema è scaduto. Fortunatamente, il prossimo certificato root di grandi dimensioni scadrà solo nel 2035, quindi non dobbiamo aspettarci un problema come quello di Android 7 nel 2021.
