Compartilhar via


EAP – O que mudou no Windows 11

O Windows 11 dá suporte ao WPA3-Enterprise, um padrão de segurança Wi-Fi que define um conjunto de requisitos em torno da validação de certificado do servidor para autenticação do EAP. O Windows 11 também dá suporte ao TLS 1.3 por padrão. Este artigo detalha as alterações no comportamento do EAP em Windows 11 devido a esses recursos.

Comportamento de validação do certificado do servidor atualizado no Windows 11

Em versões anteriores do Windows, incluindo Windows 10, a lógica de validação de certificado do servidor variava entre os métodos do EAP. No Windows 11, ajustamos todos os métodos do EAP para se comportarem de maneira consistente e previsível, o que também é consistente com a especificação do WPA3-Enterprise. Esse novo comportamento se aplica a qualquer autenticação do EAP usando os métodos do EAP primários fornecidos com o Windows, incluindo cenários de Wi-Fi, Ethernet e VPN.

O Windows confiará no certificado do servidor se uma das seguintes condições for atendida:

  • A impressão digital do certificado do servidor foi adicionada ao perfil.

    Observação

    Se o usuário estiver se conectando sem um perfil pré-configurado ou se as solicitações do usuário para validação do servidor estiverem habilitadas no perfil, a impressão digital será adicionada automaticamente ao perfil se o usuário aceitar o servidor por meio do prompt da interface do usuário.

  • Todas as seguintes condições foram atendidas:
    1. A cadeia do certificado do servidor é confiável para o computador ou os usuário.
      • Essa confiança se baseia no certificado raiz estar presente no repositório raiz confiável do computador ou do usuário, dependendo do authMode do OneX.
    2. A impressão digital do certificado raiz confiável foi adicionada ao perfil.
    3. Se a validação do nome do servidor estiver habilitada (recomendado), o nome corresponderá ao especificado no perfil.
      • Confira Validação do servidor para obter mais informações sobre como configurar a validação do nome do servidor no perfil.

Possíveis problemas ao atualizar do Windows 10 para o Windows 11

No Windows 10, em determinadas circunstâncias, as autenticações PEAP e EAP-TLS podiam validar com êxito o servidor com base apenas na presença do certificado raiz confiável no repositório raiz confiável do Windows. Se você notar que uma autenticação EAP está sempre falhando após a atualização para o Windows 11, verifique o perfil de conexão para garantir que ele cumpra os novos requisitos de comportamento descritos antes.

Na maioria dos casos, especificar a impressão digital do certificado raiz confiável no perfil é suficiente para resolver o problema, supondo que o certificado raiz já esteja presente no repositório raiz confiável.

Outra coisa a observar é que a correspondência de nomes do servidor diferencia maiúsculas de minúsculas no Windows 11 versão 21H2 (número de build 22000). A correspondência de nomes do servidor foi ajustada novamente para não diferenciar maiúsculas de minúsculas no Windows 11 versão 22H2 (número de build 22621). Se você estiver usando a validação de nomes do servidor, verifique se o nome especificado no perfil corresponde exatamente ao nome do servidor ou atualize para o Windows 11 versão 22H2 ou posterior.

Certificados curinga

No Windows 11, o Windows não rejeitará mais imediatamente os certificados de servidor que contêm um curinga (*) no CN (Nome Comum) do certificado. No entanto, é recomendável que o nome DNS no campo de extensão Nome Alternativo da Entidade (SubjectAltName/SAN) seja usado, pois o Windows ignorará os componentes CN ao verificar se há uma correspondência DNS se a SAN contiver uma opção de nome DNS. O nome DNS SubjectAltName dá suporte a um curinga no Windows 11, como nas versões anteriores do Windows.

Observação

Todas as condições descritas acima para confiar no certificado do servidor ainda se aplicam a certificados curinga.

Políticas TOD (desabilitação de substituição de confiança) WPA3-Enterprise

WPA3-Enterprise requer que o dispositivo confie no certificado do servidor – se a validação do servidor falhar, o Windows não entrará na Fase 2 da troca de EAP. Se o certificado do servidor não for confiável, o usuário será solicitado a aceitar o certificado do servidor. Esse comportamento é chamado de UOSC (Substituição de Usuário do Certificado do Servidor). Para desabilitar o UOSC para computadores sem um perfil pré-configurado, é possível definir políticas TOD (Desabilitação de Substituição de Confiança) no certificado do servidor.

As políticas TOD são indicadas na extensão Políticas de Certificado do certificado do servidor, incluindo uma OID específica. Há suporte para as seguintes políticas:

  • TOD-STRICT: se o certificado do servidor não for confiável, o usuário não será solicitado a aceitar o certificado do servidor. A autenticação falhará. Essa política tem o OID 1.3.6.1.4.1.40808.1.3.1.
  • TOD-TOFU (Trust On First Use): se o certificado do servidor não for confiável, o usuário será solicitado a aceitar o certificado do servidor somente na primeira conexão. Se o usuário aceitar o certificado do servidor, o certificado do servidor será adicionado ao perfil e a autenticação continuará. No entanto, as conexões subsequentes exigirão que o certificado do servidor seja confiável e não serão solicitados novamente. Essa política tem o OID 1.3.6.1.4.1.40808.1.3.2.

TLS 1.3

O Windows 11 habilitou o TLS 1.3 por padrão em todo o sistema e, enquanto o EAP-TLS usava TLS 1.3, o PEAP e o EAP-TTLS continuaram a usar o TLS 1.2. O Windows 11 versão 22H2 (número de build 22621) atualizou esses métodos para usar o TLS 1.3 por padrão.

Problemas conhecidos com o TLS 1.3 e o Windows 11

  • O NPS não dá suporte ao TLS 1.3 no momento.
  • Algumas versões mais antigas de servidores RADIUS de terceiros podem anunciar incorretamente o suporte ao TLS 1.3. Se você estiver tendo problemas com a autenticação do EAP-TLS com o TLS 1.3 no Windows 11 22H2, verifique se o servidor RADIUS está corrigido e atualizado ou se o TLS 1.3 está desabilitado.
  • No momento, não há suporte para a retomada da sessão. Os clientes do Windows sempre farão uma autenticação completa.