MaCOS sierra(10.12.3)での話です。
EAP-PEAPによる無線LAN認証の検証を行なっていたところ、以下の問題に遭遇。
認証サーバ(Radius)のサーバ証明書に正規のSSL証明書をセットアップし、無線LANに接続したところ、ID/PWD入力後、認証サーバの検証なしで接続ができてしまった。
ん・・これだと、サーバ認証してない・・よね。
適当なドメインの正規のSSL証明書で認証サーバを立てられたら、認証サーバが正しくなくても、勝手に接続してしまい、中間者攻撃されかねない。これはまずい!!
(ちなみにオレオレ証明書の場合は、信頼されたルート証明書の認証局で発行していないためか、認証サーバの検証はされていました)
・・・調べてみたところ、これはMacOSの不具合であったようだ。
macOS Sierra 10.12.5、セキュリティアップデート 2017-002 El Capitan、セキュリティアップデート 2017-002 Yosemite
https://support.apple.com/ja-jp/HT207797
(以下引用)
802.1X
対象 OS:macOS Sierra 10.12.4
影響:802.1X 認証を採用した悪意のあるネットワークが、ユーザのネットワーク資格情報を傍受できる可能性がある。
説明:証明書の変更時の EAP-TLS における証明書の検証に問題がありました。この問題は、証明書の検証を強化することで解決されました。
MacOSのセキュリティアップデートしたところ、問題解消。
ID/PWD入力後、認証サーバが検証されるようになった。