Google Changes to Trusted CA in Android Nougat

グーグル、Android 7.0 Nougat バージョンにて、安全なデフォルトを提供してアプリのトラフィックを保護するため、Android が認証局（CA）を扱う方法を変更。開発者向けの情報で、ほとんどのアプリやユーザーはこの変更による影響は受けません。

■ Android Nougat による認証局の変更点

• カスタム CA を信頼するための安全で簡単な API
• 対象 API レベル 24 以上のアプリは、安全な接続を確保するため、デフォルトではユーザーや管理者が追加した CA を信頼しない。
• Android Nougat を実行しているすべての端末は、同じ標準システム CA を使用し、端末固有のカスタマイズは行わない。

■ 安全で簡単な API
アプリは、認証局をいつでもカスタマイズできます。ただし、Java TLS API は複雑なため、誤った設定をしているアプリも見受けられます。これに対処するため、信頼をカスタマイズするための API を改良。

■ ユーザーが追加した CA
Android アプリケーション サンドボックスの主な目的は、すべてのアプリケーション データを保護することです。Android Nougat では、アプリケーションがユーザーや管理者が提供した CA をどのように使用するかが変更されています。デフォルトでは、対象 API レベル 24 のアプリは意図的にこのような CA を信頼しないようになっています。信頼されるのは、アプリで明示的にオプトインされている場合のみです。この安全なデフォルト設定によって、アプリケーションの攻撃対象領域が減少し、ネットワークやファイルに基づくアプリケーション データに対し一貫性のある扱いができるようになります。

■ 信頼できる CA のカスタマイズ
Android Nougat では、ネットワーク セキュリティ構成を使用して、アプリが信頼する CA のカスタマイズを簡単に行うことができます。必要に応じて、アプリ全体で信頼することも、あるドメインへの接続のみ信頼することも可能です。以下に、カスタムまたはユーザーが追加した CA やシステム CA を信頼するいくつかの例を示します。他の例や詳細については、公式のドキュメントをご確認ください。

■ 認証局 CA とは
認証局 （CA : Certification Authority）の役割の一つ目は電子証明書を発行することです。たとえば、メールの暗号化などに使われるクライアント証明書の発行の場合、登記事項証明書や印鑑登録証明書を用いて申請元の企業が実在しているかを確認したりします。

Android Nougat における認証局の変更 – Google Developer Japan
http://googledevjp.blogspot.jp/2016/08/android-nougat-ca-change.html