Let's Encrypt en Radius [tip]

[Briolet]

Toen ik gisteren met Wifi een verbinding wilde leggen, kreeg ik de melding dat het certificaat veranderd was. Ik moest het vernieuwde certificaat accepteren. Het klopt dat Let's Encrypt het certificaat net vernieuwd had. 3 maand geleden liep ik er ook al tegenaan. Daarvoor nog nooit, terwijl ik Let's Encrypt al veel langer gebruik.

Het gebeurd alleen bij mijn MacBook. De android telefoon negeert de verandering van certificaat. Ergens krijg ik de indruk dan mijn mac de verbinding beter controleert dan vroeger.

Ik zat me alleen af te vragen hoe je een certificaat kunt maken die automatisch geaccepteerd wordt. Als je met wifi verbind en met radius verifieert, dan komt er geen enkele url bij kijken die je in het certificaat kunt zetten. Het is alleen het accesspoint dat een IP adres van de radiusserver heeft.

Waarschijnlijk ontkom je er niet aan dat je die vraag altijd krijgt bij een nieuw certificaat. Het is dan veel handiger om een self-signed certificaat met lange geldigheid te maken. En bij certificaat voorkeur in te stellen dat de radiusserver dat certificaat moet gebruiken i.p.v. het Let's Encrypt certificaat.

[cyrus1977]

Toevallig liep ik hier ook recent tegen aan. Wilde ondanks dat deze post oud is, voor het nageslacht even mijn ervaring delen.
Online vond ik dat dit inderdaad policy is van Apple. Ik heb het getest ook op mijn werk gebruiken we een radius login en als daar het certificaat verloopt (niet zijnde letsencrypt) dan krijg ik daar ook een melding.

Of het betere controle is vind ik nergens. Wel dat het policy is van Apple om je te wijzen op een certificaat wijziging. En dat is op zich wel fijn want het maakt je wel even alert dat er iets veranderde... Zou namelijk ook spoorlijn kunnen zijn. Bij acceptatie van het certificaat zie ik overigens wel dat het certificaat in orde is.

Kortom ik ben er eigenlijk wel blij mee. Android is dan toch net iets minder zichtbaar.

[Briolet]

Wat je als bedrijf misschien ook nog kan doen is het zelf uitgeven van een root certificaat en die bij alle werknemers op de PC te zetten. Vervolgens creëer je een certificaat met een IP adres die door je eigen root ondertekend is.

Het kan zijn dat je dan geen waarschuwing krijgt omdat het IP dan in het certificaat staat. Maar waarschijnlijk maak je het jezelf dan onnodig moeilijk, tenzij je zo'n eigen root om een andere reden ook al wilt gebruiken voor je intranet.

[cyrus1977]

Heb ik ook bedacht. Maar ik laat ook vreemde devices toe op mijn netwerk en die kent die Root store niet en zal een nog stevigere waarschuwing krijgen. Want certificaat is dan helemaal niet valide. Een Lets encrypt warning is weliswaar zichtbaar bij vernieuwing maar wel geldig. Een eigen cert en rootstore nooit tenzij de store idd op het device hebt staan.

Maar das inderdaad complex en bij gasten überhaupt niet mogelijk.