Auteur Sujet: WPA2 entreprise: Attention à la fin de support de l'authentification TLS 1.0  (Lu 679 fois)

0 Membres et 1 Invité sur ce sujet

vivien

  • Administrateur
  • *
  • Messages: 48 268
    • Twitter LaFibre.info
Comment diagnostiquer un pb de connexion WPA2 entreprise ?

Je suis intéressé pour savoir comment récupérer des logs détaillés d'une connexion Wi-Fi en mode WPA entreprise qui est en échec.

Sous Windows et sous Ubuntu, plus particulièrement une connexion avec une authentification PEAP :



Avec Ubuntu 24.10 j'ai des pb de connexions en WPA Entreprise qui ne sont pas présents avec Ubuntu 24.04 (testé sur plusieurs PC, cela semble vraiment la mise à jour qui bloque la connexion, toutefois certaines connexions fonctionnent, d'où ma demande de log pour mieux comprendre le problème.

vivien

  • Administrateur
  • *
  • Messages: 48 268
    • Twitter LaFibre.info
WPA2 entreprise: Attention à la fin de support de l'authentification TLS 1.0
« Réponse #1 le: 31 octobre 2024 à 16:06:20 »
J'ai avancé sur ma problématique : C'est lié à l'authentification TLS 1.0

TLS 1.0 est considéré comme obsolète et n’est plus autorisé par défaut sur Linux (et à juste titre) depuis un moment, sauf... dans les connexions Wi-Fi entreprise, avec un login / mot de passe et éventuellement un certificat.

Après Fédora, c'est Ubuntu 24.10 qui supprime la possibilité de se connecter en Wi-Fi entreprise avec du TLS 1.0.
Windows, Android et iOS acceptent toujours une version TLS aussi ancienne, mais pour combien de temps ?

Pour avoir des logs : journalctl -u wpa_supplicant.service



Description des chifres rajouté sur ma copie d'écran :
- Étape N°1 : Lancement du service wpa_supplicant.service immédiatement après le démarrage du PC
- Étape N°2 : Connexion Wi-Fi lancée, Le PC s'authentifie sur le point d’accès/routeur et fait une demande d’association qui est réussie
- Étape N°3 : Lancement de la procédure d'authentification PEAP (pour Protected Extensible Authentication Protocol)
- Étape N°4 : OpenSSL refuse l'utilisation de TLS 1.0 : Echec de l'authentification
- Étape N°5 : Le système fait une pause de 10 seconde après la 1ʳᵉ tentative et 60 secondes après la seconde tentative, mais il est inutile de faire plusieurs tentatives si le point d'accès ne propose rien de mieux que TLS 1.0

La meilleure solution est de demander à l'administrateur d'activer TLS 1.2, mais sinon, une solution de contournement est possible : il faut configurer manuellement NetworkManager pour accepter TLS 1.0. Cela se fait en ligne de commande via l'outil de configuration de NetworkManager nmcli et cela se fait SSID par SSID :

nmcli con edit 'SSID_du_réseau_incriminé'
set 802-1x.phase1-auth-flags
tls-1-0-enable, tls-1-1-enable, tls-1-2-enable, tls-1-3-enable
save



Il y a un bug ouvert pour qu'Ubuntu permette de manière plus simple de se connecter avec TLS 1.0 (ou alors, il faudrait que les autres systèmes arrêtent leur support de TLS 1.0 pour obliger les admin sys à mettre TLS 1.2) : system cannot to connect to wpa2-enterprice PEAP mschapv2

Discussion sur le Discourse de Gnome : Wifi connections with unsupported TLS protocols should be handled better

Il semble que TLS 1.0 soit encore pas mal utilisé dans les Wi-Fi des écoles.