eduroam – změna certifikátu 18. dubna

Ve středu 18. dubna (rektorský den) dopoledne změníme certifikát autentizačního serveru pro bezdrátovou síť eduroam. Očekáváme, že 90% uživatelů změnu nepozná a jejich zařízení se budou bez problémů připojovat do eduroam.

Pragmatický přístup:

Do středy si zkontrolujte, že heslo pro eduroam máte ve svém správci hesel či si ho pamatujete. Pokud ve středu odpoledne budete mít problémy s připojením do eduroam, tak na zařízení odeberte konfiguraci eduroam (odstranit bezdrátovou síť). Poté se znovu připojte do sítě eduroam a nastavte své uživatelské jméno a heslo. Ke změně můžete použít konfigurační skripty/aplikace z cat.eduroam.org – odstraní původní nastavení eduroam a vytvoří nové.

Opatrný přístup:

Již nyní si na svých zařízeních stáhněte a nainstalujte konfiguraci eduroam pro Vysokou školu ekonomickou z cat.eduroam.org. Při instalaci zadáte své uživatelské jméno a své heslo do eduroam. V této konfiguraci je podpora pro současný i pro budoucí certifikát a ve středu 18. dubna nebudete mít problémy s přístupem do eduroam. Toto nelze použít pro zařízeních s Androidem do verze 7.0 včetně neboť neumožňují mít současně dva certifikáty. Konfiguraci z cat.eduroam.org si proto na Androidu stáhněte až ve středu.

Na noteboocích se školní instalací Windows 7 či Windows 10 jsme konfiguraci bezdrátové sítě eduroam upravili vzdáleně v posledních 14 dnech. Neočekáváme u nich problémy s přístupem do eduroam.

Důležité odkazy:

• Nastavení/změna hesla do eduroam: https://eduroam.vse.cz/heslo
• Popisy konfigurace eduroam: https://internet.vse.cz/eduroam/nastaveni-eduroam/
• Konfigurační skripty/aplikace: https://cat.eduroam.org/

Technické detaily

Nový certifikát bude od jiné certifikační autority. Původní certifikační autorita GeoTrust Global CA již nevydává nové certifikáty, neboť má problémy s důvěryhodností, viz Symantec Issues. Nový certifikát je od certifikační autority DigiCert Assured ID Root CA.

Problémy s připojením budou mít zařízení, která ověřují certifikát autentizačního serveru včetně kontroly certifikační autority. Na většině zařízení mohou být uvedeny dvě certifikační autority, tj. lze dopředu nastavit druhou certifikační autoritu. Výjimkou je Android do verze 7.0 včetně, který podporuje pouze jednu certifikační autoritu.

Pokud na zařízení chybí ověření autentizačního serveru, tak nebude mít s přechodem na nový certifikát problém. Ale u zařízení existuje dlouhodobé bezpečnostní riziko odposlouchávání síťové komunikace, které bylo na VŠE již několikrát zneužito.

Anonymní identita

V realmu @vse.cz podporujeme anonymní identitu – pokud se připojíte v cizí síti, tak se poskytoval služby (správce přístupových bodů) nedozví Vaši identitu. V logách bude mít pouze anonymous@vse.cz.

Není to ale absolutní anonymita – pracovníci Oddělení síťové infrastruktury VŠE jsou schopni k anonymní identitě dohledat i skutečnou identitu, pod kterou se uživatel ověřoval do eduroam.

Konfigurační aplikace/skripty z cat.eduroam.org nastavují anonymní identitu.