【資料圖】

與往年不同，今年的 Android 14 并未如期在 8 月與廣大開發者、用戶見面，不過谷歌方面的延期并未澆滅開發者對于 Android 14 抽絲剝繭的熱情，畢竟大家都想知道 Android 14 正式版會帶來哪些新的東西。根據目前曝光的相關信息顯示，好消息是開發者調試工具 HTTP Toolkit 在最近確實發現了谷歌為 Android 14 帶來的新變化，但壞消息是這一新的變化對于開發者而言并非是個好兆頭。

HTTP Toolkit 是一款大量被 App/Web 開發者使用的調試、測試和構建工具，其開發團隊日前在博客中透露，谷歌方面正在讓 Android 變得更加封閉，并且在 Android 14 中開發者將沒有任何途徑來修改系統內置根證書進行調試。其實早在 Android 7 時代，開發者就不再被允許訪問位于 /system/etc/security/cacerts/ 的 Android 系統證書庫，但在 root 后，開發者還是可以修改證書庫的路徑，并直接注入自己需要的證書。

然而到了 Android 14 上，谷歌方面直接修改了 Android 系統證書的存儲模式，相比以往證書是存儲在系統里，現在谷歌則是通過 Google Play 來更新證書。但問題在于，谷歌新的證書更新方式不再從舊路徑讀取證書，而是從 /apex/com.android.conscrypt/cacerts/ 這一路徑來讀取。并且開發者發現，針對新路徑的一切修改都是無效的，系統會直接忽略，也就是說未來開發者將無法做到讓系統信任自簽名證書。

為什么谷歌對 Android 14 的這一點點改變會被開發者吐槽，當然是因為數字證書這玩意的重要性實在是太大。

其實數字證書是一種權威性的電子文檔，是在網絡信息傳播中證明身份的工具，在互聯網中也起到了類似 " 身份證 " 的作用，并提供了驗證身份的方式。

比如我們在上淘寶時，瀏覽器是怎么知道訪問的網址到底是淘寶的官網、還是釣魚網站呢？靠的就正是 SSL/TLS 證書。當訪問淘寶站點時，我們使用的瀏覽器無論是 Chrome、Edge，還是 Safari 等，都會檢查網站證書的有效性，以對服務器進行身份驗證。如果 SSL 證書無效，用戶就會看到一條警告，顯示該連接不是私有的。

既然數字證書的作用如此重要，確保數字證書本身不能被偽造也就成為了關鍵。而為了實現這一點，過去三十余間，互聯網行業也進行了諸多努力。

一個常規的數字證書是這樣誕生的，首先需要有一個數字證書認證中心（Certificate Authority）來作為權威、公正、 可信賴的第三方來負責簽發，并使用非對稱加密技術來產生一對公鑰和私鑰，然后用自己的私鑰對自己的公鑰進行簽名，生成所謂的一份公開文件。該文件中就會包含簽發該證書的 CA、有效期、簽發對象，而這些則都是未加密的明文。

緊接著 CA 機構會對明文進行哈希計算得到一個哈希值，然后證書的簽發對象會使用 CA 下發的私鑰來對這一哈希值進行加密，最終得到簽名信息后，明文 + 簽名信息就構成了數字證書。有了數字證書后，網絡通信的雙方只需要向 CA 驗證數字證書的真實性，就可以知道在通信過程中有沒有被篡改。

而想要獲得業界的信任，讓瀏覽器、操作系統信任證書，通常都需要很長時間的積累，例如目前全球最權威的 CA 機構 Verisign、Globalsign，就是從 1995 年和 1996 年就開始從事數字證書簽發服務，靠著幾十年如一日的服務在業界打響自己的招牌。如果不想通過水磨功夫來獲得信任，那么更便捷的方式就是找到一個足夠權威的背書。例如工信部批準的 54 家 CA 機構頒發的數字證書，就是由工信部進行背書，微軟的 Microsoft 受信任根證書計劃則是微軟來背書。

數字證書本質上其實是一個信任機制，從理論上來說，在互聯網上任何個人和組織都能簽發證書，只不過有的 CA 機構更權威、受到的認可程度更高，所以這也就意味大家可以自己為自己簽發一個證書，也就是所謂的 " 自簽名證書 "。但自簽名證書是由不受信的 CA 機構頒發的數字證書，所以看到這里大家可能會問，不受信任的數字證書又有什么用呢？

因為就像大家需要有身份證一樣，數字證書也是應用程序的必要構件。一款 App 在正式上傳到應用商店，乃至被部署到用戶的手機里之前，必然會經歷多輪的測試工作，這時候開發者往往會使用自簽名證書來作為過渡，或是修改系統內置根證書來調試 App。作為互聯網世界的基石之一，失去數字證書的代價無疑是巨大的。比如就在數周前，用友和金蝶這兩大在國內被廣泛使用的財務軟件，就出現了用戶大批量無法正常使用的情況，而導致這一問題的原因，就是是微軟突然吊銷了 Windows 10 和 Windows 11 上的 Verisign Class 3 Public Primary Certification Authority-G5 證書，導致使用該證書的用友和金蝶代碼簽名失效、程序被 Windows 攔截，導致無法正常使用。

這就是為什么開發者會吐槽谷歌在 Android 14 上的這一調整了，因為這就等于說谷歌在客觀上給部分開發者的開發工作設置了阻礙。

不過為什么谷歌非要這樣做呢？當然是因為在 Android 14 之前的受信任證書與 iOS 一樣，都是預先存儲在系統里，谷歌歌無法直接更新信息，這就會導致某些證書出于各種原因被吊銷后，他們無法及時應對。在能夠通過 Google Play 更新證書庫后，谷歌就可以隨時應對諸如不久前微軟突然吊銷多個根證書，又在數日內恢復的操作。

【本文圖片來自網絡】