1 votes

GarlicCheese avatar

L'authentification par certificat client échoue avec iOS 13.4.1 (fonctionne avec 13.2.2)

Demandé el 21 de Avril, 2020
Quand la question a-t-elle été
1437 affichage
Nombre de visites la question a
2 Réponses
Nombre de réponses aux questions
Résolu
Situation réelle de la question

J'ai déjà publié cette question et a depuis lors approfondi la question.

Le problème semble venir du dernier iOS (13.4.1), qui n'envoie pas le certificat du client lors des demandes d'authentification.

Pour tester cela, j'ai mis en place un serveur web nécessitant un certificat client pour l'authentification. Le certificat client est installé sur l'iPhone. Si je navigue sur le site web, iOS indique qu'un certificat client est requis et demande d'utiliser celui qui est installé. Une fois que j'ai appuyé sur continuer, la connexion échoue car aucun certificat n'est présenté au serveur.

Exactement la même configuration sur iOS 13.2.2 fonctionne comme prévu. Le certificat client est installé, le site web est accédé, iOS demande d'envoyer le certificat, iOS le fait et l'accès fonctionne correctement.

J'ai écrit un rapport de bogue à Apple, mais je n'ai pas encore reçu de réponse.

Mise à jour Le système fonctionne également comme prévu avec l'iPadOS 13.3.1.

Mise à jour iOS Beta 13.4.5 présente le même problème.

Quelqu'un d'autre connaît-il ce problème ou s'agit-il d'un cas isolé ? J'ai même réinitialisé l'iPhone pour vérifier s'il s'agissait d'un problème lié à ma configuration.

Demandé el 21 de Avril, 2020 par GarlicCheese

Réponses

Trop de publicités?

1voto

Graham Miln avatar
Graham Miln Points 39606

Conditions requises pour les certificats de confiance dans iOS 13 et MacOS 10.15

Le certificat du client est-il conforme Les dernières exigences d'Apple en matière de certificats ?

Tous les certificats de serveur TLS doivent être conformes à ces nouvelles exigences de sécurité dans iOS 13 et MacOS 10.15 :

  • Les certificats de serveur TLS et les AC émettrices utilisant des clés RSA doivent utiliser des tailles de clés supérieures ou égales à 2048 bits. Les certificats utilisant des clés RSA de taille inférieure à 2048 bits ne sont plus fiables pour TLS.
  • Les certificats de serveur TLS et les autorités de certification émettrices doivent utiliser un algorithme de hachage de la famille SHA-2 dans l'algorithme de signature. Les certificats signés SHA-1 ne sont plus fiables pour TLS.
  • Les certificats de serveur TLS doivent présenter le nom DNS du serveur dans l'extension Subject Alternative Name du certificat. Les noms DNS figurant dans le CommonName d'un certificat ne sont plus fiables.

Bien que le document mentionne les certificats de serveur, je soupçonne que les certificats de client seront également rejetés s'ils utilisent SHA-1 ou des clés faibles.

Débogage avec openssl s_server

Essayez de déboguer la connexion TLS à l'aide de la fonction serveur de test , voir Vérifier le SSL entrant à l'aide d'OpenSSL S_Server pour une question connexe.

Répondu el 22 de Avril, 2020 par Graham Miln (39606 Points )

0voto

GarlicCheese avatar
GarlicCheese Points 11

Après avoir contacté Apple via les rapports de bogues officiels, Twitter et leur forum de discussion, et pas de retour d'information Il semble que ce problème soit enfin résolu dans la version iOS BETA 13.5 (17F5065a).

Répondu el 7 de Mai, 2020 par GarlicCheese (11 Points )

Questions connexes

Questions en vedette

Top Tags

Dans notre réseau

LesApples.com

LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.

Powered by:

Yandex
X