Android: где искать список отзыва сертификатов?

Question

Хотел бы я получить список всех отозванных сертификатов, загруженных на устройство Android? Я знаю, что этот класс позволяет вам проверять, отозван ли сертификат или нет, но я хочу получить полный список отозванных сертификатов. Является ли это возможным? Android хранит такой список или использует OCSP для проверки сертификатов?

Answer 1

Может показаться, что Android не хранит список отзыва сертификатов (или, по крайней мере, если он это делает, то не использует его). Есть ветка reddit от нескольких лет назад, которая поднимает этот вопрос и обсуждает плюсы / минусы этого, но суть в том, что если вы перейдете к https://revoked.grc.com/ (который должен бросить ошибка, если ваш браузер проверяет аннулированные сертификаты) в мобильном Chrome, вы будете уведомлены о том, что ваш браузер не проверяет аннулированные сертификаты.

На странице выше (revoked.grc.com, которую вы не сможете увидеть, если не используете браузер без CRL):

Мобильная платформа Android в настоящее время предлагает нет собственную проверку отзыва сертификатов, поэтому приложения Android (включая всех пользователей браузера Google Chrome) уязвимы для злонамеренного злоупотребления сертификатами. На сегодняшний день единственным способом безопасного использования Android является Firefox, который обеспечивает собственную безопасность сертификатов.

Я нашел еще пару источников (опять несколько лет, но они все еще актуальны и точно описывают текущую ситуацию):

• Проблема на github OkHttp (http-клиент Android), обсуждающая, добавлять ли проверки отзыва сертификатов, когда они решают не

• В блоге Commons обсуждается отсутствие проверок отзыва сертификатов на Android

• Проблема Chromium по поводу отсутствия CRL, когда один из разработчиков заявляет, что он не будет добавлен, и приводит обоснование:

  Пометка этого WontFix по двум причинам:

  1) Ответственность за проверку отзыва несут Android и соответствующие API-интерфейсы SSL. Сам Android не выполняет и никогда не проверял аннулирование [...]

  2) Проверка отзыва, как правило, не работает (как функция безопасности), и особенно для мобильных устройств, сильно влияет на производительность (отрицательно) и конфиденциальность (отрицательно)