最新消息 12 月 22 日消息，根证书（Root certificates）是公钥基础设施 (PKI) 的核心，必须要通过受信任的证书颁发机构（CA）签名才能生效。应用程序和浏览器都可以对根证书进行更新，但是安卓手机目前只能通过 OTA 升级的方式进行更新。在即将到来的安卓 14 系统中可能会改变这种情况。

最新消息了解到，每个操作系统都内置自己的根证书，安卓自然也不例外。你可以在安卓手机上通过导航到设置应用中的“安全和隐私”选项来查看根证书。

但问题是这个根存储不是万能的。应用程序可以选择使用和信任它们自己的根存储（Firefox 就是这样做的），并且它们可以只接受特定的证书（称为证书固定）以避免中间人 (MITM) 攻击。自安卓 7 系统以来，用户也可以安装自己的证书，开发者也可以选择允许其应用使用这些证书。

根据 AOSP Gerrit 上的一项新提案，Conscrypt 是一个提供 Android 的 TLS 实现的 Mainline 模块，将在未来的更新中支持可更新的根证书。这意味着可以通过 Project Mainline 的 Google Play 系统更新来删除（甚至添加）证书，以确保在将来发生其他情况（如 TrustCor）时能够更快地进行处理。

在引入这项功能之后谷歌可以不依赖 OEM 厂商推送更新的方式，及时更新根证书从而让设备更加安全。