[学内向け] eduroam 認証サーバ証明書の検証について (2019年9月26日)

eduroam利用時の認証サーバ証明書検証について,国立情報学研究所より以下の連絡がありました.

  • パスワードの安全性確保のため,eduroam への接続時に認証サーバ証明書の検証を行ってください.
  • iOS,MacOS,Windows 10については,初回の基地局接続時に正しい基地局から サーバ証明書を受け入れていれば,認証サーバの同一性確認が行われるため, 端末が発する警告を利用者が無視して強制接続しない限り,偽基地局への 接続によるパスワード漏洩の危険性はありません.
  • Androidの場合,従来の端末では認証サーバ証明書の検証が困難なことが 多かったのですが,近年の端末では多くのCA証明書が搭載されるようになり, eduroamの接続設定において,CA証明書の項目で「システム証明書を使用」を 選択することで,検証が可能なケースが多くなっています(パブリックな サーバ証明書を利用している場合).
  • eduroamへの初回接続時には所属機関の信頼できるeduroam用APから接続を行い,正しく接続できるか試しておいてください. 訪問先で初めて接続を行うと,安全性が低下するだけでなく,接続できない場合の問題の切り分けも困難になることから,是非ともご協力をよろしく お願いいたします.

上記の連絡に基づき,以下の確認をお願いします.

  • eduroam に初めて接続する際は,学内でeduroam に接続できるかどうかの確認を必ず行う.
  • Android 端末をeduromに接続する際は,CA証明書に「システム証明書」を選択する.具体的には以下の設定を行う.
    ESSIDeduroam
    EAP方式PEAP
    フェーズ2認証MSCHAPV2
    CA証明書システム証明書を使用
    ※どうしても接続できない場合にのみ,「検証しない」を選択
    ドメインfederated-id.eduroam.jp

詳しくは国立情報学研究所の「利用の手引き」を参照してください.