Un nouveau certificat pour le serveur RADIUS

mardi 22 décembre 2009, par Jacques VIRCHAUXRichard TIMSITNicolas BISELX

Toutes les versions de cet article : [français] [fr_pda]



Actuellement l’EPFL utilise une autorité de certification (CA = Certification Authority) GTE CyberTrust Global Root (GlobalSign) reconnue par défaut sur toutes les plates-formes, ceci dans le cadre d’accords européens et avec le partenaire SWITCH. Dans la foulée des institutions affiliées à TERENA, SWITCH a décidé d’abandonner cette autorité.
Si le choix de QuoVadis fait par SWITCH pour ce remplacement n’est pas discutable pour les serveurs Web, il pose problème pour les dispositifs précaires comme les PDA ou les smartphones de plus en plus nombreux à être utilisés pour des connexions authentifiées.
Changement pour changement, nous avons préféré changer pour une autorité des plus reconnue, à savoir Thawte, qui signera ce nouveau certificat à partir du 19 janvier 2010.
Les détails concernant ce changement pour les utilisateurs qui s’authentifient avec WiFi (WPA2) et 802.1x (sur une prise jaune avec un ’X’) : network.epfl.ch/ara/changement_certificat.html.

Rappel : le mécanisme d’authentification

Pour s’authentifier, le client contacte le serveur radius.epfl.ch. Le serveur va présenter son certificat de serveur, signé par une CA connue du client qui lui permet de savoir qu’il parle bien avec radius.epfl.ch. Ensuite l’authentification par le serveur certifié peut s’établir.
Il est très important de n’accorder sa confiance qu’au serveur reconnu, ceci pour éviter des actions malhonnêtes permettant de récolter les username/password avec un serveur pirate  !

Documents joints


Jacques VIRCHAUX

Richard TIMSIT

Nicolas BISELX

FI 10 du 22 décembre 2009

Mots-clés

Accueil du site