Google vuole riprogettare la gestione dei certificati di Android

Google sta lavorando a una soluzione per evitare che i dispositivi Android molto vecchi non siano più in grado di navigare su internet per problemi di certificati scaduti: Mishaal Rahman di Esper ha notato alcune manovre a riguardo nel codice sorgente di Android. Sintetizzando all'estremo, l'idea è di scorporare anche i certificati dal sistema operativo, e rendere il loro aggiornamento un'operazione completabile tramite il Play Store o i Play Service.

Il rischio è reale: l'hanno corso i dispositivi basati su Android 7 l'anno scorso. Un cosiddetto root certificate stava per scadere e se Google non fosse intervenuta il resto di internet avrebbe praticamente tagliato fuori i dispositivi coinvolti, rifiutando la connessione per ragioni di sicurezza. Google è riuscita a evitare guai un po' fortuitamente per come tali certificati vengono gestiti, ma sta studiando una soluzione più solida e duratura.

Il problema dei certificati è particolarmente significativo per il mondo Android: il sistema operativo è progettato per far sì che tutte le app (browser web inclusi) usino quelli preinstallati nel sistema operativo. Non è strettamente obbligatorio, ma sono pochi gli sviluppatori che scelgono la strada alternativa. Uno di questi è Mozilla per il suo browser Firefox (che nell'esempio citato sopra avrebbe quindi continuato a funzionare normalmente).

La possibilità di modificare i certificati senza passare attraverso un aggiornamento di sistema ha anche un altro potenziale vantaggio: permette di risolvere eventuali problemi emersi con le aziende che i certificati li rilasciano. Se i certificati di una di queste entità vengono revocati per sospetti, poca chiarezza o fiducia violata, c'è un modo per mantenere operativi e funzionali anche i dispositivi ormai vetusti per cui è già scaduto il periodo di supporto software da parte dei rispettivi produttori. A quanto pare sta accadendo proprio ora: Google ha deciso di revocare il proprio supporto ai certificati di TrustCor perché è sospettata di avere legami con agenzie di intelligence americane.