Mi empresa utiliza una PKI privada para manejar escenarios tales como
- Autenticación mutua (TLS) en un sitio web mediante certificados de cliente
- certificados de servidor web SSL en una Intranet (una vez que se establece una sesión de VPN)
- Correo electrónico seguro S / MIME.
- autenticación ActiveSync
Al actualizar Android a Kitkat, la presencia de una raíz no predeterminada certificado da como resultado estas advertencias
y
Es posible eliminar esta advertencia para un usuario root , o cargando el certificado en Google Apps (y pagando $ 5 por usuario / mes), sin embargo, estoy buscando una solución que no incurrir en este costo innecesario.
Varias personas han publicado esto como un defecto en el código FOSS, sin embargo, el número # 62076 (protagonizada por 121 personas) ha sido cerrada como "por diseño". Editar: Este problema se ha vuelto a abrir en número 82036 . comience a votar como un problema, o comente según sea necesario.
A través de las pruebas, verifiqué que este error aún aparece cuando se usan Restricciones de nombre y se limita el propósito de EKU de la nueva CA raíz. (S / MIME, autenticación de cliente, etc.).
-
¿Hay alguna forma de agregar un certificado a las raíces confiables en un teléfono Android que no cree este error? (en versión actual o futura)
-
En la práctica, ¿son las raíces de confianza no predeterminadas más problemáticas que la lista de CA predeterminada (en otras palabras, es que Google resuelve el problema incorrecto?)
-
¿Es razonable permitir que un certificado raíz esté correctamente restringido (en la raíz) por los usos de EKU, o Restricciones de nombre para generar una advertencia diferente o un conjunto de diálogos de aprobación?