Es gibt immer wieder mal eine Überraschung, wenn ich ein Update oder eine Neuinstallation auf meinen Linux Clients mache. Dieses Mal ist es mein Radiusserver, der zugegeben nicht in der neuesten Version auf meinem OpenWRT-Router läuft (OpenWRT hinkt da immer etwas nach und ist auch nicht so leicht upzudaten, das läuft immer auf eine Neuinstallation der Firmware hinaus).
Was ist passiert?
Die Anmeldung an meinem WLan über WPA-Enterprise (TLS) funktionierte nicht mehr. Die Meldungen auf der Konsole des Routers gaben mir den Hinweis, dass es Verständigungsprobleme beim TLS (SSL) Handshake gibt (Version mismatch).
Was hat sich beim Clientupdate geändert?
Es ist die neue SSL-Library-Version, die Verbindungen über SSL3 verhindert und damit nicht mehr mit der älteren (OpenWRT-)Radius-Version harmoniert. Was ist nun zu tun, ein Downgrade des Clienten? Die Suche im Internet hat die Lösung gebracht:
Wenn es in der /etc/ssl/openssl.cnf (oder …openssl.conf) folgenden Eintrag gibt:
MinProtocol = TLSv1.2
dann kann der Wert auf 1.0 gesetzt werden, damit die Kommunikation mit dem älteren Radius-Server wieder funktioniert.
Es gab und gibt immer wieder die Diskussionen über Sicherheitslücken, wenn unsichere Cryptoalgoritmen genutzt werden, aber dabei wird gern übersehen, dass nicht immer alle Komponenten auf dem gleichen Sicherheitslevel sind und auch nicht immer leicht gebracht werden können. Problematisch ist nur, dass solche Änderungen nicht genügend transparent kommuniziert werden, eine Falle für unbedarfte Anwender.
(rw)