EAP - O que mudou no Windows 11

O Windows 11 suporta WPA3-Enterprise, um padrão de segurança Wi-Fi que define um conjunto de requisitos em torno da validação de certificado de servidor para autenticação EAP. O Windows 11 também suporta TLS 1.3 por padrão. Este artigo detalha as alterações no comportamento do EAP no Windows 11 devido a esses recursos.

Comportamento de validação de certificado de servidor atualizado no Windows 11

Em versões anteriores do Windows, incluindo o Windows 10, a lógica de validação do certificado do servidor variava entre os métodos EAP. No Windows 11, ajustamos todos os métodos EAP para se comportarem de forma consistente e previsível, o que também é consistente com a especificação WPA3-Enterprise. Esse novo comportamento se aplica a qualquer autenticação EAP usando os métodos EAP primários fornecidos com o Windows, incluindo cenários Wi-Fi, Ethernet e VPN.

O Windows confiará no certificado do servidor se uma das seguintes condições for atendida:

• A impressão digital do certificado do servidor foi adicionada ao perfil.

  Note

  Se o usuário estiver se conectando sem um perfil pré-configurado ou se as solicitações de validação do servidor estiverem habilitadas no perfil, a impressão digital será adicionada automaticamente ao perfil se o usuário aceitar o servidor por meio do prompt da interface do usuário.

• Estão preenchidas todas as seguintes condições:
  1. A cadeia de certificados do servidor é confiável para a máquina ou usuário.
     • Essa confiança é baseada no certificado raiz presente na máquina ou no armazenamento raiz confiável do usuário, dependendo do OneX authMode.
  2. A impressão digital do certificado de raiz fidedigno foi adicionada ao perfil.
  3. Se a validação de nome do servidor estiver habilitada (recomendado), o nome corresponderá ao especificado no perfil.
     • Para obter mais informações, consulte Validação de servidor para obter mais informações sobre como configurar a validação de nome de servidor no perfil.

Problemas potenciais ao atualizar do Windows 10 para o Windows 11

No Windows 10, em determinadas circunstâncias, as autenticações PEAP e EAP-TLS podem validar com êxito o servidor com base apenas na presença do certificado raiz confiável no armazenamento raiz confiável do Windows. Se você observar que uma autenticação EAP está falhando consistentemente após a atualização para o Windows 11, verifique o perfil de conexão para garantir que eles cumpram os novos requisitos para o comportamento descrito anteriormente.

Na maioria das vezes, especificar a impressão digital do certificado de raiz fidedigno no perfil é suficiente para resolver o problema, supondo que o certificado de raiz já esteja presente no repositório de raízes fidedignas.

Outra coisa a notar é que a correspondência entre os nomes dos servidores é sensível a maiúsculas e minúsculas no Windows 11, versão 21H2 (número de compilação 22000). A correspondência de nome do servidor foi ajustada de volta para não diferenciar maiúsculas de minúsculas no Windows 11 versão 22H2 (número de compilação 22621). Se estiver a utilizar a validação do nome do servidor, certifique-se de que o nome especificado no perfil corresponde exatamente ao nome do servidor ou atualize para o Windows 11 versão 22H2 ou posterior.

Certificados curinga

No Windows 11, o Windows não rejeitará mais imediatamente os certificados de servidor que contêm um curinga (*) no certificado Common Name (CN). No entanto, é recomendável que o nome DNS no campo de extensão Nome Alternativo da Entidade (SubjectAltName/SAN) seja usado, pois o Windows ignorará os componentes CN ao verificar uma correspondência DNS se a SAN contiver uma opção de nome DNS. O nome DNS SubjectAltName suporta um curinga no Windows 11, como nas versões anteriores do Windows.

WPA3-Enterprise políticas de Trust Override Disable (TOD)

WPA3-Enterprise requer que o dispositivo confie no certificado do servidor - se a validação do servidor falhar, o Windows não entrará na Fase 2 da troca EAP. Se o certificado do servidor não for confiável, o usuário será solicitado a aceitar o certificado do servidor. Esse comportamento é chamado User Override of Server Certificate (UOSC). Para desativar o UOSC para máquinas sem um perfil preconfigurado, é possível definir políticas de Desativação de Trust Override (TOD) no certificado do servidor.

As políticas TOD são indicadas na extensão Certificate Policies do certificado do servidor, incluindo um OID específico. As seguintes políticas são suportadas:

• TOD-STRICT: Se o certificado do servidor não for confiável, o usuário não será solicitado a aceitar o certificado do servidor. A autenticação falhará. Esta política tem o OID 1.3.6.1.4.1.40808.1.3.1.
• TOD-TOFU (Confiança na Primeira Utilização): Se o certificado do servidor não for confiável, o usuário será solicitado a aceitar o certificado do servidor somente na primeira conexão. Se o usuário aceitar o certificado do servidor, o certificado do servidor será adicionado ao perfil e a autenticação continuará. No entanto, as conexões subsequentes exigirão que o certificado do servidor seja confiável e não serão solicitados novamente. Esta política tem o OID 1.3.6.1.4.1.40808.1.3.2.

TLS 1,3

O Windows 11 habilitou o TLS 1.3 por padrão em todo o sistema e, embora EAP-TLS usasse o TLS 1.3, o PEAP e o EAP-TTLS continuaram a usar o TLS 1.2. O Windows 11 versão 22H2 (número de compilação 22621) atualizou esses métodos para usar o TLS 1.3 por padrão.

Problemas conhecidos com o TLS 1.3 e o Windows 11

• O NPS não suporta TLS 1.3 no momento.
• Algumas versões mais antigas de servidores RADIUS de terceiros podem anunciar incorretamente o suporte a TLS 1.3. Se você estiver enfrentando problemas com a autenticação de EAP-TLS com TLS 1.3 com Windows 11 22H2, verifique se o servidor RADIUS está corrigido e atualizado ou se o TLS 1.3 está desativado.
• A retomada da sessão não é suportada no momento. Os clientes Windows sempre farão uma autenticação completa.