Problème/Risque
la mise à niveau 11 QPR1 d’Android de décembre sur le plan de la sécurité modifie la façon dont les certificats de sécurité sans fil sont traités. Par conséquent, ceux qui se connectent à eduroam avec un appareil Android ne pourront plus le faire à moins qu’ils modifient leur profil CAT.
Solution
Créer et lancer un profil CAT d’eduroam. Téléchargement sur le portail cat.eduroam.org portal.
Soutien
écrivez à [email protected]
Contexte
Pourquoi est-ce important?
En décembre 2020, la mise à niveau de sécurité 11 QPR1 d’Android interdira à l’utilisateur de sélectionner l’option « Do not validate » (ne pas valider) pour le « CA Certificate » (certificat de l’autorité de certification) dans les paramètres réseau de l’appareil, si bien qu’il ne pourra plus se connecter à eduroam.
Les appareils Android configurés avec l’option « Do not validate » pour contourner le certificat CA ne pourront donc plus se raccorder à eduroam.
Les organisations doivent régler le problème maintenant, car la mise à niveau sera déployée graduellement en décembre.
Qu’est-ce que la validation du certificat du serveur?
La validation du certificat du serveur est une mesure de sécurité de WPA2-Enterprise qui oblige le dispositif à vérifier l’identité du serveur avant d’authentifier un réseau. L’appareil établit l’identité du serveur en vérifiant l’autorité de certification (CA) sur le serveur RADIUS puis en s’assurant que la CA correspond au bon domaine.
Habituellement, l’appareil contient une « liste racine », soit une liste préinstallée de CA fiables. Pour que le certificat du serveur soit validé, l’appareil et le serveur RADIUS doivent tous les deux attester la CA qui a émis le certificat de validation.
Pourquoi la version Android 11 exige-t-elle la validation du certificat du serveur?
La mise à niveau supprime l’option « ne pas valider » du certificat afin que l’utilisateur de configure pas mal ses paramètres réseau par inadvertance, ce qui le rendrait particulièrement vulnérable au vol d’identité en direct.
Mesure à prendre (une heure de travail)
- Créez votre profil CAT eduroam avec un certificat adtélécharger et installer (ou réinstaller) le profil du site équat pour vos serveurs RADIUS eduroam.
- Lorsque vous configurerez le profil CAT, assurez-vous d’utiliser l’ID extérieure anonyme spécifique au site que notre équipe des opérations a fournie au contact technique principal de l’institution ou contactez [email protected] pour de plus amples informations.
- Lancez le profil CAT sur la plateforme de production.
- Avertissez les utilisateurs de télécharger et installer (ou réinstaller) le profil du site cat.eduroam.org.
Grâce à ces mesures, vous ferez en sorte que les utilisateurs possédant un appareil Android puissent continuer à se servir d’eduroam sans interruption.
Autres considérations
- Si vous avez donné aux utilisateurs pour instruction de sélectionner « ne pas valider », vous devriez immédiatement forcer la modification du mot de passe, actualiser la documentation et commencer à planifier la migration vers le profil CAT.Quand l’utilisateur demandera un profil CAT eduroam, il utilisera ce profil pour mettre à jour les certificats ou les paramètres.
- Vous ne pourrez plus utiliser de certificats auto-signés. L’utilisateur devra installer le profil CAT. Il n’y aura aucune autre façon d’ajouter le certificat au module de vérification Android du dispositif mobile.