EAP - Ce qui a changé dans Windows 11

Windows 11 prend en charge WPA3-Enterprise, une norme de sécurité Wi-Fi qui définit un ensemble d’exigences relatives à la validation du certificat de serveur pour l’authentification EAP. Windows 11 prend également en charge TLS 1.3 par défaut. Cet article détaille les modifications du comportement de l’EAP dans Windows 11 en raison de ces fonctionnalités.

Comportement de validation du certificat de serveur mis à jour dans Windows 11

Dans les versions précédentes de Windows, y compris Windows 10, la logique de validation du certificat de serveur variait d’une méthode EAP à l’autre. Dans Windows 11, nous avons ajusté toutes les méthodes EAP pour qu’elles se comportent de manière cohérente et prévisible, ce qui est également cohérent avec la spécification WPA3-Enterprise. Ce nouveau comportement s’applique à toute authentification EAP à l’aide des méthodes EAP internes fournies avec Windows, y compris les scénarios Wi-Fi, Ethernet et VPN.

Windows approuve le certificat de serveur si l’une des conditions suivantes est remplie :

• L’empreinte du certificat de serveur a été ajoutée au profil.

  Note

  Si l’utilisateur se connecte sans profil préconfiguré ou si les invites de validation du serveur sont activées dans le profil, l’empreinte est automatiquement ajoutée au profil si l’utilisateur accepte le serveur via l’invite d’interface utilisateur.

• Toutes les conditions suivantes sont respectées :
  1. La chaîne de certificats du serveur est approuvée par l’ordinateur ou l’utilisateur.
     • Cette approbation est basée sur le certificat racine présent dans le magasin racine approuvé de l’ordinateur ou de l’utilisateur, en fonction de l’authentification OneX.
  2. L’empreinte du certificat racine de confiance a été ajoutée au profil.
  3. Si la validation du nom du serveur est activée (recommandé), le nom correspond à celui spécifié dans le profil.
     • Pour plus d’informations, consultez Validation du serveur pour plus d’informations sur la configuration de la validation du nom du serveur dans le profil.

Problèmes potentiels de mise à niveau de Windows 10 vers Windows 11

Dans Windows 10, dans certaines circonstances, les authentifications PEAP et EAP-TLS pouvaient valider le serveur uniquement en fonction de la présence du certificat racine approuvé dans le magasin racine approuvé de Windows. Si vous constatez que l’authentification EAP échoue systématiquement après la mise à niveau vers Windows 11, vérifiez le profil de connexion pour vous assurer qu’il respecte les nouvelles exigences décrit ci-dessus.

Dans la plupart des cas, indiquer l’empreinte numérique du certificat racine approuvé dans le profil de configuration est suffisant pour résoudre le problème, à condition que le certificat racine soit déjà présent dans le magasin racine approuvé.

Une autre chose à noter est que la correspondance de nom de serveur est sensible à la casse dans Windows 11 version 21H2 (numéro de build 22000). La correspondance du nom du serveur a été ajustée pour être insensible à la casse dans Windows 11 version 22H2 (numéro de build 22621). Si vous utilisez la validation du nom du serveur, vérifiez que le nom spécifié dans le profil correspond exactement au nom du serveur ou effectuez une mise à niveau vers Windows 11 version 22H2 ou ultérieure.

Certificats génériques

Dans Windows 11, Windows ne rejette plus immédiatement les certificats de serveur qui contiennent un caractère générique (*) dans le nom commun du certificat (CN). Toutefois, il est recommandé d'utiliser un nom DNS dans le champ d’extension Subject Alternate Name (SubjectAltName/SAN), car si ce champ est présent, Windows ignorera les composants du CN pour effectuer la correspondance DNS. Le nom DNS SubjectAltName prend en charge un caractère générique dans Windows 11, comme dans les versions précédentes de Windows.

Stratégies de désactivation TOD (Trust Override Disable) de WPA3-Enterprise

WPA3-Enterprise nécessite que l’appareil approuve le certificat du serveur : si la validation du serveur échoue, Windows n’entre pas dans la phase 2 de l’échange EAP. Si le certificat du serveur n’est pas approuvé, l’utilisateur est invité à accepter le certificat du serveur. Ce comportement est appelé User Override of Server Certificate (UOSC). Pour désactiver l'UOSC pour les machines sans profil préconfiguré, il est possible de définir des stratégies Trust Override Disable (TOD) sur le certificat du serveur.

Les stratégies TOD sont indiquées dans l’extension Stratégies de certificat du certificat de serveur en incluant un OID spécifique. Les stratégies suivantes sont prises en charge :

• TOD-STRICT : Si le certificat du serveur n’est pas approuvé, l’utilisateur n'est pas invité à accepter le certificat du serveur. L’authentification échoue. Cette stratégie a l’OID 1.3.6.1.4.1.40808.1.3.1.
• TOD-TOFU (Trust On First Use) : Si le certificat du serveur n’est pas approuvé, l’utilisateur est invité à accepter le certificat du serveur lors de la première connexion uniquement. Si l’utilisateur accepte le certificat du serveur, ce dernier est ajouté au profil et l’authentification continue. Toutefois, les connexions ultérieures nécessiteront que le certificat du serveur soit approuvé et ne demanderont plus de confirmation. Cette stratégie a l’OID 1.3.6.1.4.1.40808.1.3.2.

TLS 1.3

Windows 11 activait TLS 1.3 par défaut au niveau système. EAP-TLS utilisait déjà TLS 1.3, mais PEAP et EAP-TTLS continuaient d’utiliser TLS 1.2. À partir de Windows 11 version 22H2 (numéro de build 22621), ces méthodes utilisent désormais TLS 1.3 par défaut.

Problèmes connus avec TLS 1.3 et Windows 11

• NPS ne prend pas en charge TLS 1.3 pour le moment.
• Certaines versions antérieures de serveurs RADIUS tiers peuvent indiquer à tort la prise en charge de TLS 1.3. Si vous rencontrez des problèmes d’authentification EAP-TLS avec TLS 1.3 dans Windows 11 22H2, vérifiez que le serveur RADIUS est à jour ou que TLS 1.3 est désactivé.
• La reprise de session n’est actuellement pas prise en charge. Les clients Windows effectuent toujours une authentification complète.