Установка сертификатов для ОС Android

Материал из SmartPlayer
Другие языки:
Актуально только для Android OS

Самоподписанные сертификаты

У пользователей есть необходимость добавлять самоподписанные сертификаты для ОС Android.
Данный процесс является достаточно простым, но также имеет свои особенности и нюансы.

Общая информация

Терминология

Самоподписанный сертификат - это цифровой сертификат, который не выдается и не подтверждается третьей стороной, такой как удостоверяющий центр (Центр Сертификации, CA). Вместо этого, он создается и подписывается самим пользователем или организацией, которая его использует.
Проще говоря это сертификат, созданный пользователем или организацией, которая его использует.

Необходимость

Использование самоподписанных сертификатов чаще всего используются для:

  • Тестирование приложений

Разработчики часто используют самоподписанные сертификаты для тестирования приложений перед их публикацией. Это позволяет им создать безопасное соединение, например, между приложением и сервером, без необходимости покупки сертификата от удостоверяющего центра.

  • Внутреннее использование.

В некоторых компаниях самоподписанные сертификаты используются во внутренних сетях для шифрования данных и обеспечения безопасности.

Риски и ограничения

Использование самоподписанных сертификатов несет в себе определенные риски и трудности в их использовании. К ключевым рискам можно отнести такие как: Недоверие со стороны систем.

  • Поскольку самоподписные сертификаты не проверяются и не выдаются удостоверяющими центрами, они часто вызывают предупреждения о безопасности в браузерах и приложениях. Это может насторожить пользователей.
  • Уязвимость каждого сертификата.

Использование самоподписных сертификатов может увеличить риск таких атак, как "man-in-the-middle"(MITM), где злоумышленник может перехватывать данные между двумя сторонами.

MITM - это атака типа «человек посередине» (MITM) — это кибератака, при которой киберпреступник перехватывает данные, пересылаемые между двумя организациями или людьми. Целью перехвата является кража, прослушивание или изменение данных в какой-либо злонамеренной цели, такой как вымогательство денег.

Возможные взаимодействия с сертификатами

Создание сертификатов

С алгоритмом действия для создания самоподписанного сертификата можно в отдельной инструкции: Создание самоподписанных сертификатов SSL с помощью инструмента OpenSSL на Ubuntu

Добавление сертификатов

Если пользователю для работы приложения необходим сертификат, он может установить его сам, вручную. Созданные сертификат будет подтверждать, что приложению разрешен доступ к конкретным функциям и данным.

Описаный ниже алгоритм актуален для устройств под управлением Andoid OS 9 и выше.

Алгоритм установки сертификата

  1. На устройстве необходимо открыть "Настройки".
  2. Необходим перейти в раздел: "Безопасность и конфиденциальность" > "Дополнительные настройки безопасности" > "Шифрование и учетные данные".
  3. Далее необходимо выбрать раздел "Установка сертификатов" > "Сертификат WI-FI".
  4. Находим и нажимаем на иконку меню, в виде трех горизонтальных полосок.
  5. Выбираем место, где был сохранён сертификат.
  6. Нажимаем на файл. Возможно, нужно будет ввести пароль к хранилищу ключей и нажимаем "ОК".
  7. Вводим название сертификата.
  8. Нажимаем "ОК"

Удаление сертификатов

Каждый пользователь может удалить самоподписанный сертификат, найдя его в списке сертификатов. Для этого необходимо:

  1. Открыть приложение "Настройки".
  2. Нажать: "Безопасность и конфиденциальность" > "Дополнительные настройки безопасности" "Шифрование и учетные данные".
  3. Необходимо перейти в раздел "Хранилище учетных данных".

Таким образом попав в хранилище сертификатов, можно делать уже следующие действия с ними:

  • (Не рекомендуется) Для удаления всех сертификатов на устройстве необходимо нажать "Очистить все учетные данные" > "ОК".
  • (Рекомендуется) Для удаление конкретных сертификатов на устройстве необходимо нажать "Учетные данные пользователя" > выбрать нужные учетные данные для удаления.

Примечания

Использование сети WI-FI, защищенную WPA-Enterprise. Можно при подключении использовать настройки WPA/WPA2/WPA3-Enterprise для дополнительной защиты. Чтобы это сделать, нужно:

  • Открыть приложение "Настройки".
  • Нажать на раздел "Сеть и интернет" > "Интернет" > "Добавить сеть ", с помощью иконки "+"
  • Ввести данные, полученные у администратора сети.
Для подключения к сети могут понадобиться дополнительные данные.

Настройки "Не проверять".

Вариант "Не проверять" был удален из настроек EAP-PEAP, EAP-TLS и EAP-TTLS для Android 11 и выше.

Сохраненные настройки Enterprise, которые отключают проверку подлинности сертификата сервера, не затрагиваются. Однако вы не можете изменять их и создавать новые.
Настройки WPA/WPA2/WPA3-Enterprise доступны как пользователям частным лицам, так пользователям сотрудникам организаций.

Тонкости и нюансы

Проработка проблемы с коллизией между сервером и клиентом. В данном случае необходимо вводить доменное имя не в полном формате, а с использованием "*".
"abcdef.technomedia.ru"- неправильно
"*.technomedia.ru"- правильно

Итоговый результат

Пользователи умеют создавать и взаимодействовать с самоподписанными сертификатами.