Theo mặc định, các CA gốc đáng tin cậy được bao gồm trong Android là gì?

Dường như không có tài nguyên Android trung tâm nào liệt kê các CA gốc đáng tin cậy có trong HĐH hoặc trình duyệt mặc định ( câu hỏi liên quan trên SO ), vậy làm cách nào tôi có thể tìm ra những thứ được bao gồm trên điện thoại của mình theo mặc định?

Với số lượng chứng chỉ gốc đã bị xâm phạm và số lượng chứng nhận SSL lừa đảo được tạo ra trong vài năm qua, đây là vấn đề cho bất kỳ ai dựa vào SSL để bảo mật, vì nếu không bạn sẽ không biết nếu bạn muốn xóa bất kỳ CA đáng tin cậy .

(không liệt kê phiên bản dành cho nhà sản xuất hoặc hệ điều hành của tôi vì tôi đang tìm kiếm một tài nguyên hoặc giải pháp chung có thể áp dụng cho mọi thiết bị)

Trên ICS hoặc sau này, bạn có thể kiểm tra điều này trong cài đặt của bạn . Đi đến Settings->Security->Trusted Credentialsđể xem danh sách tất cả các CA đáng tin cậy của bạn, được phân tách bằng cách chúng được bao gồm trong hệ thống hoặc được người dùng cài đặt.

Các phiên bản trước của Android giữ các certs của họ /system/etc/securitytrong một gói được mã hóa có tên cacerts.bksmà bạn có thể trích xuất bằng Bouncy Castle và keytoolchương trình. Tóm tắt trước tiên là kéo gói bằng cách sử dụng adb(bạn cần một vỏ gốc) sau đó bạn có thể sử dụng Bouncy Castle để liệt kê nội dung của gói:

shell~$ adb pull /system/etc/security/cacerts.bks`
shell~$ keytool -keystore cacerts.bks -storetype BKS -provider org.bouncycastle.jce.provider.BouncyCastleProvider -storepass changeit -v -list

Cũng có ít nhất một ứng dụng mà bạn có thể dùng thử nếu bạn không muốn sử dụng trình bao: CACertMan (yêu cầu root để sửa đổi danh sách, nhưng sẽ cho phép bạn xem danh sách mà không cần root). Tôi tin rằng nó xuất hiện do fiasco DigiNotar vì không có cách nào đặc biệt dễ dàng để người dùng thu hồi chứng chỉ tại thời điểm đó. Vì các certs được lưu trữ khác nhau trên ICS và sau đó, ứng dụng này sẽ chỉ hoạt động trên các thiết bị chạy Gingerbread (hoặc trước đó), nhưng dù sao nó cũng đã lỗi thời trên ICS / JB.