チラシの裏からうっすら見える外枠の外のメモ書き

新聞に挟まってる硬い紙のチラシの裏からうっすら見える外枠の外に走り書きされたようなものです。思いついたときにふらふらと。

Raspberry PiをアップデートしたらTLS 1.0とTLS 1.1を無効化しろと言われた話

前の記事のためにRaspbian*1のパッケージ更新などを行っていたら、wpa_supplicantにも更新が来ていた。

k-hyoda.hatenablog.com

 

どうやらTLS 1.0には脆弱性があり、更にInternet Explorer/FireFox/Google Chrome/Safariの4ブラウザは2020年にはTLS 1.0とTLS 1.1を無効化すると言っていたみたい。

ssl.sakura.ad.jp

www.itmedia.co.jp

その煽りを受けてwpa_supplicantも設定の更新をするようにapt upgradeした時点で言ってくる。

wpasupplicant (2:2.6-19) unstable; urgency=medium

With this release, wpasupplicant no longer respects the system
default minimum TLS version, defaulting to TLSv1.0, not TLSv1.2. If
you're sure you will never connect to EAP networks requiring anything less
than 1.2, add this to your wpasupplicant configuration:

tls_disable_tlsv1_0=1
tls_disable_tlsv1_1=1

wpasupplicant also defaults to a security level 1, instead of the system
default 2. Should you need to change that, change this setting in your
wpasupplicant configuration:

openssl_ciphers=DEFAULT@SECLEVEL=2

Unlike wpasupplicant, hostapd still respects system defaults.

-- Andrej Shadura <andrewsh@debian.org> Sat, 15 Dec 2018 14:22:18 +0100

ということでapt upgrade後に/etc/wpa_supplicant/wpa_supplicant.confを開いて次の一行をWi-Fiのネットワーク設定の中(network={から始まるのブロックのこと)に追加*2

phase1="tls_disable_tlsv1_0=1 tls_disable_tlsv1_1=1"

また、wpa_supplicantはOpenSSLのセキュリティレベルを1にしているのでそれをシステムデフォルトの2にする場合は、上で追加した行を次の一行に書き換える。

phase1="tls_disable_tlsv1_0=1 tls_disable_tlsv1_1=1 openssl_ciphers=DEFAULT@SECLEVEL=2"

www.raspberrypi.org

これで再起動すれば設定完了です。

 

途中にあったように、Wi-Fiのネットワーク設定の中に記述する必要があるので注意してください。

私みたいにRaspberry Piをヘッドレス運用してると最悪詰みます。(私は間一髪で気づくことができました)

*1:おそらくDebian系のOSでwpa_supplicantの更新が来ていれば大体当てはまると思います。

*2:どうやらここがとても重要なようで、一番下などに追加するとネットワークに接続できなくなるみたいです。