TLS 1.2 e Freeradius

2015-09-21
Os novos sistemas operacionais estao utilizando TLS 1.2 para cripotografar os tuneis de comunicacao utilizados para conexoes em rede wireless WPA2-Enterprise (https://en.wikipedia.org/wiki/IEEE_802.1X e https://en.wikipedia.org/wiki/IEEE_802.11i-2004 ).

Essa criptografia esta descrita nas RFCs https://tools.ietf.org/html/rfc5246 e https://tools.ietf.org/html/rfc6614

Os links abaixo descrevem os problemas de compatibilidade encontrados.

https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=799273
https://community.jisc.ac.uk/groups/eduroam/article/tls-12-and-updated-radius-requirements
https://bugzilla.redhat.com/show_bug.cgi?id=1248484
https://www.wireless.bris.ac.uk/blog/2015/07/29/issues-with-beta-versions-of-osx-10-11-ios-9/

Por isso os servidores da USP foram atualizados, o que resultou na minimizacao da incidencia de problemas de conexao para os clientes do eduroam, porem algumas estatisticas divulgadas em http://gestao.eduroam.usp.br/ deixaram de ser coletadas. Aguardamos uma nova versao do software RADIUS para que as estatisticas voltem a ser coletadas e o TLS 1.2 seja plenamente suportado.

Enquanto isso recomendamos os usuarios removam o perfil antigo do dispositivo e instalem novamente a partir dos instaladores atualizados do eduroam https://cat.eduroam.org/?idp=761

Se prefirir configurar manualmente use os dados abaixo, conforme https://eduroam.usp.br/como-usar/
Configurações de Autenticação de Usuário:
O protocolo de autenticação é o EAP, escolher o tipo PEAP.
Método de Autenticação é MS-CHAPv2.

No servidor foram muito comuns erros conforme abaixo:
SSL error error:140A1159:SSL routines:SSL_BYTES_TO_CIPHER_LIST:scsv received when renegotiating
SSL error error:140940E5:SSL routines:SSL3_READ_BYTES:ssl handshake failure
SSL: SSL_read failed in a system call (-1), TLS session fails
Discarding duplicate request from client XXX port XXX – ID: XX due to unfinished request XX in component XXX module

Update: 2015-10-05

O TTLS + MsCHAPv2 sobre TLS 1.2 voltou a funcionar corretamente devido a uma nova versão do Radius.