EAP : Ce qui a changé dans Windows 11
Windows 11 prend en charge WPA3-Enterprise, une norme de sécurité Wi-Fi qui définit un ensemble d’exigences relatives à la validation de certificat de serveur pour l’authentification EAP. Windows 11 prend également en charge TLS 1.3 par défaut. Cet article détaille les modifications du comportement de l’EAP dans Windows 11 en raison de ces fonctionnalités.
Comportement de validation de certificat de serveur mis à jour dans Windows 11
Dans les versions précédentes de Windows, y compris Windows 10, la logique de validation du certificat de serveur variait d’une méthode EAP à l’autre. Dans Windows 11, nous avons ajusté toutes les méthodes EAP pour qu’elles se comportent de manière cohérente et prévisible, ce qui est également cohérent avec la spécification WPA3-Enterprise. Ce nouveau comportement s’applique à toute authentification EAP à l’aide des méthodes EAP internes fournies avec Windows, y compris les scénarios Wi-Fi, Ethernet et VPN.
Windows approuve le certificat de serveur si l’une des conditions suivantes est remplie :
- L’empreinte du certificat de serveur a été ajoutée au profil.
Notes
Si l’utilisateur se connecte sans profil préconfiguré ou si les invites de validation du serveur sont activées dans le profil, l’empreinte numérique est automatiquement ajoutée au profil si l’utilisateur accepte le serveur via l’invite d’interface utilisateur.
- Toutes les conditions suivantes sont remplies :
- La chaîne de certificats de serveur est approuvée par l’ordinateur ou l’utilisateur.
- Cette confiance est basée sur le certificat racine présent dans le magasin racine approuvé de l’ordinateur ou de l’utilisateur, en fonction de l’authMode OneX.
- L’empreinte du certificat racine de confiance a été ajoutée au profil.
- Si la validation du nom du serveur est activée (recommandé), le nom correspond à ce qui est spécifié dans le profil.
- Pour plus d’informations, consultez Validation du serveur pour plus d’informations sur la configuration de la validation de nom de serveur dans le profil.
- La chaîne de certificats de serveur est approuvée par l’ordinateur ou l’utilisateur.
Problèmes potentiels de mise à niveau de Windows 10 vers Windows 11
Dans Windows 10, dans certaines circonstances, les authentifications PEAP et EAP-TLS peuvent valider le serveur uniquement en fonction de la présence du certificat racine approuvé dans le magasin racine approuvé Windows. Si vous constatez que l’authentification EAP échoue systématiquement après la mise à niveau vers Windows 11, vérifiez le profil de connexion pour vous assurer qu’il respecte les nouvelles exigences relatives au comportement décrit ci-dessus.
Dans la plupart des cas, la spécification de l’empreinte du certificat racine approuvé dans le profil est suffisante pour résoudre le problème, en supposant que le certificat racine est déjà présent dans le magasin racine approuvé.
Une autre chose à noter est que la correspondance de nom de serveur respecte la casse dans Windows 11 version 21H2 (numéro de build 22000). La correspondance du nom du serveur a été ajustée pour ne pas respecter la casse dans Windows 11 version 22H2 (numéro de build 22621). Si vous utilisez la validation du nom du serveur, vérifiez que le nom spécifié dans le profil correspond exactement au nom du serveur ou effectuez une mise à niveau vers Windows 11 version 22H2 ou ultérieure.
Certificats génériques
Dans Windows 11, Windows ne rejette plus immédiatement les certificats serveur qui contiennent un caractère générique (*
) dans le nom commun du certificat (CN). Toutefois, il est recommandé que le nom DNS dans le champ d’extension Subject Alternate Name (SubjectAltName/SAN) soit utilisé, car Windows ignore les composants CN lors de la vérification d’une correspondance DNS si le san contient un choix de nom DNS. Le nom DNS SubjectAltName prend en charge un caractère générique dans Windows 11, car il se trouve sur les versions antérieures de Windows.
Remarque
Toutes les conditions décrites ci-dessus pour approuver le certificat de serveur s’appliquent toujours aux certificats génériques.
Stratégies WPA3-Enterprise Trust Override Disable (TOD)
WPA3-Enterprise nécessite que l’appareil approuve le certificat de serveur : si la validation du serveur échoue, Windows n’entre pas dans la phase 2 de l’échange EAP. Si le certificat de serveur n’est pas approuvé, l’utilisateur est invité à accepter le certificat de serveur. Ce comportement est appelé User Override of Server Certificate (UOSC). Pour désactiver UOSC pour les machines sans profil préconfiguré, il est possible de définir des stratégies TOD (Trust Override Disable) sur le certificat de serveur.
Les stratégies TOD sont indiquées dans l’extension Stratégies de certificat du certificat de serveur en incluant un OID spécifique. Les stratégies suivantes sont prises en charge :
- TOD-STRICT : si le certificat de serveur n’est pas approuvé, l’utilisateur n’est pas invité à accepter le certificat de serveur. L’authentification échouera. Cette stratégie a l’OID
1.3.6.1.4.1.40808.1.3.1
. - TOD-TOFU (Trust On First Use) : si le certificat de serveur n’est pas approuvé, l’utilisateur est invité à accepter le certificat de serveur lors de la première connexion uniquement. Si l’utilisateur accepte le certificat de serveur, le certificat de serveur est ajouté au profil et l’authentification continue. Toutefois, les connexions suivantes nécessitent que le certificat de serveur soit approuvé et n’afficheront plus d’invite. Cette stratégie a l’OID
1.3.6.1.4.1.40808.1.3.2
.
TLS 1.3
Windows 11 activait TLS 1.3 par défaut dans tout le système, et tandis que EAP-TLS utilisait TLS 1.3, PEAP et EAP-TTLS continuaient d'utiliser TLS 1.2. Windows 11 version 22H2 (numéro de build 22621) a mis à jour ces méthodes pour utiliser TLS 1.3 par défaut.
Problèmes connus avec TLS 1.3 et Windows 11
- NPS ne prend pas en charge TLS 1.3 pour l’instant.
- Certaines versions antérieures de serveurs RADIUS tiers peuvent publier de manière incorrecte la prise en charge de TLS 1.3. Si vous rencontrez des problèmes d’authentification EAP-TLS avec TLS 1.3 avec Windows 11 22H2, vérifiez que le serveur RADIUS est corrigé et à jour ou que TLS 1.3 est désactivé.
- La reprise de session n’est actuellement pas prise en charge. Les clients Windows effectuent toujours une authentification complète.