Auteur Sujet: WPA2 entreprise: Attention à la fin de support de l'authentification TLS 1.0  (Lu 918 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 48 545
    • Twitter LaFibre.info
Comment diagnostiquer un pb de connexion WPA2 entreprise ?

Je suis intéressé pour savoir comment récupérer des logs détaillés d'une connexion Wi-Fi en mode WPA entreprise qui est en échec.

Sous Windows et sous Ubuntu, plus particulièrement une connexion avec une authentification PEAP :



Avec Ubuntu 24.10 j'ai des pb de connexions en WPA Entreprise qui ne sont pas présents avec Ubuntu 24.04 (testé sur plusieurs PC, cela semble vraiment la mise à jour qui bloque la connexion, toutefois certaines connexions fonctionnent, d'où ma demande de log pour mieux comprendre le problème.

vivien

  • Administrateur
  • *
  • Messages: 48 545
    • Twitter LaFibre.info
WPA2 entreprise: Attention à la fin de support de l'authentification TLS 1.0
« Réponse #1 le: 31 octobre 2024 à 16:06:20 »
J'ai avancé sur ma problématique : C'est lié à l'authentification TLS 1.0

TLS 1.0 est considéré comme obsolète et n’est plus autorisé par défaut sur Linux (et à juste titre) depuis un moment, sauf... dans les connexions Wi-Fi entreprise, avec un login / mot de passe et éventuellement un certificat.

Après Fedora, c'est Ubuntu 24.10 qui supprime la possibilité de se connecter en Wi-Fi entreprise avec du TLS 1.0.
Windows, Android et iOS acceptent toujours une version TLS aussi ancienne, mais pour combien de temps ?

Pour avoir des logs : journalctl -u wpa_supplicant.service




Description des chiffres rajouté sur ma copie d'écran :
- Étape N°1 : Lancement du service wpa_supplicant.service immédiatement après le démarrage du PC
- Étape N°2 : Connexion Wi-Fi lancée, Le PC s'authentifie sur le point d’accès/routeur et fait une demande d’association qui est réussie
- Étape N°3 : Lancement de la procédure d'authentification PEAP (pour Protected Extensible Authentication Protocol)
- Étape N°4 : OpenSSL refuse l'utilisation de TLS 1.0 : Echec de l'authentification
- Étape N°5 : Le système fait une pause de 10 seconde après la 1ʳᵉ tentative et 60 secondes après la seconde tentative, mais il est inutile de faire plusieurs tentatives si le point d'accès ne propose rien de mieux que TLS 1.0

La meilleure solution est de demander à l'administrateur d'activer TLS 1.2, mais sinon, une solution de contournement est possible : il faut configurer manuellement NetworkManager pour accepter TLS 1.0. Cela se fait en ligne de commande via l'outil de configuration de NetworkManager nmcli et cela se fait SSID par SSID :

nmcli con edit 'SSID_du_réseau_incriminé'
set 802-1x.phase1-auth-flags
tls-1-0-enable, tls-1-1-enable, tls-1-2-enable, tls-1-3-enable
save



Il y a un bug ouvert pour qu'Ubuntu permette de manière plus simple de se connecter avec TLS 1.0 (ou alors, il faudrait que les autres systèmes arrêtent leur support de TLS 1.0 pour obliger les admin sys à mettre TLS 1.2) : system cannot to connect to wpa2-enterprice PEAP mschapv2

Discussion sur le Discourse de Gnome : Wifi connections with unsupported TLS protocols should be handled better

Il semble que TLS 1.0 soit encore pas mal utilisé dans les Wi-Fi des écoles.

vivien

  • Administrateur
  • *
  • Messages: 48 545
    • Twitter LaFibre.info
WPA2 entreprise: Attention à la fin de support de l'authentification TLS 1.0
« Réponse #2 le: 25 décembre 2024 à 11:31:57 »
Un exemple : PC d'un lycéen / universitaire, qui utilise le réseau internet proposé par le lycée / université (avec authentification PEAP TLS 1.0).

Ce n'est pas un cas fictif, mais un cas remonté dans le bug ouvert pour Ubuntu :


Je peux confirmer que le correctif n°12 corrige également ce problème pour le Wi-Fi Eduroam de notre université.

Notre institut a littéralement révisé toute l'infrastructure Wi-Fi la semaine dernière avec le support Wi-Fi 6E avec les derniers AP.

C'est bizarre que je doive d'une manière ou d'une autre mettre TLSv1.0 sur liste blanche. Peut-être que je négocie simplement le mauvais protocole TLS ?

Quoi qu'il en soit, à en juger par la façon dont notre récente refonte de l'infrastructure a encore besoin de cette solution de contournement, je pense qu'il s'agit d'un problème côté logiciel du client et, à mon avis, cela n'est pas suffisamment bien signalé simplement parce que ce n'est pas encore dans la branche LTS.

J'espère que quelqu'un pourra trouver une solution propre.




Juhyung Park : Il s'agit d'un problème de configuration du contrôleur réseau qui gère les points d'accès. Vous devez demander le changement à l'administrateur système.

Les différents éditeurs de systèmes d'exploitation (Microsoft, Apple, Google, Canonical) devraient s'entendre pour désactiver TLS 1.0 dans l'authentification Wi-Fi à la même date, tout comme TLS 1.0 a été supprimé des navigateurs web à une date commune.

Il est dangereux pour Ubuntu et Fedora de faire cavalier seul (le problème est le même avec Fedora depuis plusieurs versions).

hwti

  • Abonné Orange Fibre
  • *
  • Messages: 2 391
  • Chambly (60)
WPA2 entreprise: Attention à la fin de support de l'authentification TLS 1.0
« Réponse #3 le: 25 décembre 2024 à 23:16:19 »
Il est dangereux pour Ubuntu et Fedora de faire cavalier seul (le problème est le même avec Fedora depuis plusieurs versions).
C'est probablement plus large que ça, et ça date d'il y a plusieurs années, ça semble avoir été cassé puis corrigé plusieurs fois.

Côté Debian, le problème a été remonté en aout 2018, suite à partir du moment où ils ont désactivé TLS1.0 et TLS1.1 par défaut dans OpenSSL 1.1.1 : https://bugs-devel.debian.org/cgi-bin/bugreport.cgi?bug=907518.
Ils ont fait un patch dans wpa_supplicant en décembre 2018 : https://salsa.debian.org/debian/wpa/-/commit/db245e4786304efc72a3c6ec92c510ca0a5258e3.

En janvier 2019, wpa_supplicant ajoute le support de tls_disable_tlsv1_0=0 (et qui a été exposé dans NetworkManager 1.42 en novembre 2022 par https://gitlab.freedesktop.org/NetworkManager/NetworkManager/-/commit/a275285537d156004488dbcf4085898f52b514d1).

=> à partir de ce moment, il y a deux façon d'activer le TLS1.0 : soit par défaut avec le patch Debian, soit dans la configuration de wpa_supplicant

Mais en janvier 2022, un bug est créé côté Ubuntu, ça ne fonctionne plus avec le passage à OpenSSL 3 : https://bugs.launchpad.net/ubuntu/+source/wpa/+bug/1958267.
C'est corrigé par un commit dans wpa_supplicant en mai 2022, intégré en juin dans Ubuntu et an janvier 2023 dans Debian.

Avec le bug observé dans Ubuntu 24.10, il semble qu'il faille changer la configuration wpa_supplicant (via NetworkManager), donc le patch Debian qui réactivait TLS1.0 par défaut ne semble plus fonctionner.

trekker92

  • Abonné Free adsl
  • *
  • Messages: 1 736
WPA2 entreprise: Attention à la fin de support de l'authentification TLS 1.0
« Réponse #4 le: 26 décembre 2024 à 01:06:35 »
Il est dangereux pour Ubuntu et Fedora de faire cavalier seul (le problème est le même avec Fedora depuis plusieurs versions).

Il y a tout de même ceci :
https://linuxfr.org/nodes/135029/comments/1952839