前の記事のためにRaspbian*1のパッケージ更新などを行っていたら、wpa_supplicantにも更新が来ていた。
どうやらTLS 1.0には脆弱性があり、更にInternet Explorer/FireFox/Google Chrome/Safariの4ブラウザは2020年にはTLS 1.0とTLS 1.1を無効化すると言っていたみたい。
その煽りを受けてwpa_supplicantもWPA-EAPを使っている場合は設定の更新をするようにapt upgradeした時点で言ってくる。*2
wpasupplicant (2:2.6-19) unstable; urgency=medium
With this release, wpasupplicant no longer respects the system
default minimum TLS version, defaulting to TLSv1.0, not TLSv1.2. If
you're sure you will never connect to EAP networks requiring anything less
than 1.2, add this to your wpasupplicant configuration:tls_disable_tlsv1_0=1
tls_disable_tlsv1_1=1wpasupplicant also defaults to a security level 1, instead of the system
default 2. Should you need to change that, change this setting in your
wpasupplicant configuration:openssl_ciphers=DEFAULT@SECLEVEL=2
Unlike wpasupplicant, hostapd still respects system defaults.
-- Andrej Shadura <andrewsh@debian.org> Sat, 15 Dec 2018 14:22:18 +0100
ということでapt upgrade後に/etc/wpa_supplicant/wpa_supplicant.confを開いて次の一行をWi-Fiのネットワーク設定の中(network={から始まるのブロックのこと)に追加*3
また、wpa_supplicantはOpenSSLのセキュリティレベルを1にしているのでそれをシステムデフォルトの2にする場合は、上で追加した行を次の一行に書き換える。
phase1="tls_disable_tlsv1_0=1 tls_disable_tlsv1_1=1 openssl_ciphers=DEFAULT@SECLEVEL=2"
これで再起動すれば設定完了です。
途中にあったように、Wi-Fiのネットワーク設定の中に記述する必要があるので注意してください。
私みたいにRaspberry Piをヘッドレス運用してると最悪詰みます。(私は間一髪で気づくことができました)
