1 votes

Baez avatar

eduroam ne se connecte pas en raison d'un condensé de signature de certificat faible

Demandé el 4 de Mai, 2022
Quand la question a-t-elle été
254 affichage
Nombre de visites la question a
1 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

Récemment mis à jour vers Ubuntu 22.04, j'ai eu quelques problèmes pour activer ma connexion WiFi eduroam. Plus précisément, j'ai obtenu le message suivant dans le syslog :

Mai 04 11:42:11 sliver wpa_supplicant[687]: TLS: Certificate verification failed, error 68 (CA signature digest algorithm too weak) depth 0 for '/C=DK/ST=Denmark/O=Aalborg Universitet/OU=IT Services/CN=wifi.aau.dk'

Pour le moment, je ne peux activer la connexion eduroam que lorsque je fais no utiliser un certificat. En regardant avec openssl x509 ... il semble que le certificat utilise toujours SHA-1.

S'agit-il d'un problème qui doit être résolu par l'émetteur du certificat (c'est-à-dire les services informatiques de mon université) ou d'un problème lié à la mise à jour de la version 22.04 ?

Demandé el 4 de Mai, 2022 par Baez

Réponse

Trop de publicités?

2voto

Joe the Person avatar
Joe the Person Points 5090

Le problème est dû au fait qu'Ubuntu a suivi la migration vers OpenSSL 3 et que le niveau de sécurité par défaut est de 2. Les niveaux de sécurité par défaut sont les suivants aquí (sous "Default Callback Behavior") expliquant ce que chaque niveau signifie dans OpenSSL 3.0. Ubuntu utilise le niveau par défaut de 2 sur les versions d'OpenSSL qu'il livre.

À partir d'Ubuntu 22.04 Jammy, OpenSSL utilise le niveau de sécurité par défaut de 2. Dans le fichier Guide de migration vers OpenSSL 3.0 des modifications ont été apportées au niveau 1 par défaut d'OpenSSL, de sorte que "les certificats X509 signés à l'aide de SHA1 ne sont plus autorisés au niveau de sécurité 1 et supérieur". Malheureusement, comme les certificats SHA1 sont désormais "non sécurisés", vous devez abaisser votre configuration au niveau de sécurité 0 qui permet de tout accepter. Ce qui est peu sûr, mais jusqu'à ce que votre groupe informatique mette à jour les certificats, vous n'avez pas vraiment le choix.

Par 本答 vous devriez pouvoir ajuster votre configuration pour utiliser les anciens paramètres de sécurité par défaut. J'ai adapté ces instructions ici.

Modifiez votre /etc/ssl/openssl.cnf dossier. Au début du fichier, ajoutez ceci :

openssl_conf = default_conf

[ default_conf ]

ssl_conf = ssl_sect

[ssl_sect]

system_default = system_default_sect

[system_default_sect]
CipherString = DEFAULT:@SECLEVEL=0

Redémarrez ensuite votre système pour vous assurer que les niveaux de sécurité sont correctement définis, et testez la connexion. Vous ne devriez plus avoir ce problème. Sachez que cela réduit la sécurité globale de votre système et peut vous exposer aux vulnérabilités des anciens protocoles et des cryptages de sécurité utilisés sur les anciens sites ou les sites intentionnellement malveillants.

En définitive, le groupe informatique de votre université doit réémettre le certificat avec une signature SHA256 et l'appliquer à l'infrastructure eduroam de son côté. L'approche susmentionnée visant à réduire les valeurs par défaut de la sécurité n'est pas garantie puisque les certificats signés SHA1 sont considérés comme dépréciés par les normes SSL. Vous devez supprimer la configuration qui est faite ici dès que l'équipe informatique met à jour ses certificats.

Sinon, n'utilisez pas de certificat avec votre connexion eduroam dans l'intervalle.

Répondu el 5 de Mai, 2022 par Joe the Person (5090 Points )

Questions en vedette

Top Tags

Dans notre réseau

SistemesEz.com

SystemesEZ est une communauté de sysadmins où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres sysadmins, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X