Hoi Becky,

Het gebruik van self-signed certificaten levert in jouw situatie geen groter risico op dan bijvoorbeeld een certificaat van startssl.com. Lees eens de vraag en antwoord in deze link: http://security.stackexchange.com/questions/8110/what-are-the-risks-of-self-signing-a-certificate-for-ssl

Je kan overigens met de openssl tools je eigen CA opzetten, ideaal voor kleinschalig thuisgebruik.
Zie: http://pages.cs.wisc.edu/~zmiller/ca-howto/ of http://www.freebsdmadeeasy.com/tutorials/freebsd/create-a-ca-with-openssl.php

Je vraag mbt WPA2: http://security.stackexchange.com/questions/35780/why-is-wpa-enterprise-more-secure-than-wpa2
Kortgezegd, gebruik WPA2 Enterprise als je toch al RADIUS hebt.

Succes!

1. Je moet even snappen waarom. Dat certificaat ondertekenen wil zeggen dat er een ander certificaat voor de integriteit en identiteit van dit certificaat instaat. Het idee is dat als je een certificaat gepresenteerd krijgt dat je dan kan uitvogelen of het het verwachte certificaat is en niet dat van iemand die een man-in-het-midden-aanval aan het uitvoeren is.

Dus als jij een certificaat gepresenteerd krijgt en het heeft zichzelf gesigneerd, dan, uhm, dan kan dat ieder willekeurig certificaat zijn. Je kan natuurlijk instellen dat alleen een certificaat met een zekere vingerafdruk gebruikt mag worden, en als er dan een ander certificaat gepresenteerd wordt dan moet de software de verbinding dus weigeren.

Als dat teveel werk is dan is de logische volgende stap om zelf een zelf-gesigneerd signeercertificaat te maken, en daarmee de gebruikscertificaten te signeren. Dan hoef je alleen dat signeercertificaat op al je machines in te stellen, en niet iedere keer de configuratie overal te wijzigen als je een gebruikscertificaat moet wijzigen.

Als ook je eigen zelf-gesigneerde signeercertificaat overal instellen teveel werk is, dan kun je terugvallen op de (betaalde) signeerdiensten van slinkse bedrijven die hun signeercertificaten in allerlei standaard-geinstalleerde certificaatbundels opgenomen hebben weten te krijgen.

Bedrijven die je beschermen tegen iedereen van wie ze geen geld aannemen. Commercieele bedrijven. Voel je al aan hoe dat verdienmodel inelkaar zit?

Maargoed, als zoals je zelf zegt alle verbindingen toch al beveiligd zijn, en je vertrouwt je lokale netwerk 100%, dan kun je wellicht al dat gehannes met certificaten achterwege laten. 'Tis maar wat je belangrijk vindt. Denk dus nog even na, teken desnoods je netwerk voor jezelf uit, en verzin wat je wil bereiken en hoe je dat aan wil pakken.

2. Ik begrijp niet waarom je deze vraag stelt want je zegt net zelf dat je het antwoord al besloten hebt. Maargoed.

Het verschil tussen WPA-personal en WPA-enterprise is het verschil tussen (niet anders dan) een PreShared Key kunnen instellen, en het toegangspunt aan je radius server laten vragen hoe nu verder gegeven deze of gene die onder een opgegeven naam zonodig toegang wil. Op dat laatste volgt dan een instructie hoe verder, en daar heb je meerdere methoden voor, en het is waar dat ze niet allemaal even sterk zijn. Om nu te zeggen dat het ene altijd veiliger is dan het ander is eigenlijk appels met peren vergelijken. Het doel van beide methoden is wezenlijk anders.

Verder lijkt het me dat een gastnetwerk op 802.1x laten draaien wellicht rompslomp oplevert waar je je gasten mischien helemaal niet mee wil lastigvallen. Maar mischien ook wel, geen idee hoe jij dat ziet.

A) De belangrijkste reden om een commercieel certificaat te gebruiken is dat onbekenden, via het vertrouwen dat ze moeten stellen in minstens een trusted third party, redelijke zekerheid hebben dat hun webbrowser (of app) met een specifieke server van een bepaalde partij communiceert. Een self signed certificaat kan net zo makkelijk door een aanvaller als de "rechtmatige eigenaar" zijn aangemaakt. Een verstandige ontvanger van zo'n certificaat voert aanvullend onderzoek uit om vast te stellen of een self-signed certificaat betrouwbaar is, in de zin van dat het betreffende certificaat daadwerkelijk door de "server-eigenaar" is aangemaakt.

B) Een voordeel van het gebruik van een commercieel certificaat kan zijn dat de uitgever (ondertekenaar) de aanvrager, en dus bezoekers van de site, kan behoeden voor onverstandige of onjuiste gegevens in het certificaat. Voorbeelden:
- Een servercertificaat hoor een "end entity" certificaat te zijn (het mag niet gebruikt kunnen worden om andere certificaten mee te kunnen ondertekenen);
- Aanvullende beperkingen (constraints) zijn wenselijk waardoor het certificaat slechts als servercertificaat gebruikt kan worden;
- De geldigheidsduur moet niet meer dan enkele jaren zijn;
- In het geval van een RSA sleutelpaar dient te lengte 2048 bits of meer te zijn;
- Als hash voor de handtekening dient SHA-2 gebruikt te worden (meestal SHA-256);
- Het gebruik van bijv. een (uniek) IP-adres of niet-unieke domainname i.p.v. een wereldwijd unieke domainname.

C) Een derde reden, die feitelijk volgt uit A), is dat gebruikers moeite moeten doen om een self-signed certificaat, dat ze besloten hebben te vertrouwen, te importeren in de webbrowser, app of besturingssysteem (dit om dezelfde waarschuwingen bij een volgend bezoek te voorkomen). Dit proces verschilt per browser en vaak is niet duidelijk hoe e.e.a. werkt en wat de consequenties zijn. Het verwijderen van zo'n certificaat (bijv. na lekken van een private key) zal voor veel gebruikers geen eenvoudige opgave zijn (als je ze al kunt bereiken).

D) Een belangrijk voordeel van commerciële certificaten zouden de revocation services moeten zijn die zij aanbieden (essentieel als onbekenden jouw server bezoeken). Helaas is het zo dat revocation niet altijd betrouwbaar werkt.

Een correct geconfigureerd self-signed certificaat, in combinatie met bezoekers die de authenticiteit ervan vaststellen en weten hoe ze dat vertrouwen in hun OS, app of browser kunnen "opslaan", doet niet onder voor een commercieel certificaat.

Als er sprake is van meerdere certificaten (en dat is al snel zo) is het verstandig om een eigen PKI (Public Key Infrastructure) op te zetten. Je maakt dan eerst een uniek sleutelpaar en daaruit een root certificaat. De private key daarvan, die je beter kunt (en moet) beveiligen dan de private key op een server, gebruik je voor het ondertekenen van servercertificaten. gebruikers hoeven dan alleen nog maar te onderzoeken of jouw rootcertificaat (altijd self-signed) daarwerkelijk van jou is. Zodra dat is vastgesteld en ze dat certificaat als root-certificaat hebben geïmporteerd, worden al jouw server certificaten voortaan automatisch vertrouwd.

Hier weet ik aanzienlijk minder van dan PKI-achtige zaken. Maar als ik me niet vergis heeft, bij WPA2-Enterprise, elke gebruiker een unieke sleutel (bij diefstal of verlies van bijv. een smartphone hoeft niet iedereen het wachtwoord te wijzigen). Welke lekken in enterprise bedoel je?

Kleine toelichting hierop.

Dit is hoe bedrijven het doen.
Die hebben vaak een selfsigned enterprise CA.
Alle bedrijfscomputers vertrouwen deze enterprise CA en daarmee alle servers/pc's die een certificaat hebben gekregen van deze CA.
Je kan dus zonder waarschuwingen/foutmeldingen een https/ssl sessie starten naar (web)servers en andere resources op het bedrijfsinterne netwerk.

Bij wpa2-enterpise wordt de user geautenticeerd a.d.h. van zijn userid tegen een radius server die op zijn beurt wordt gevoed door een domaincontroller.
Al dan niet in combinatie met (op bijv. smartphones geimporteerde) user certificates en op laptops aangemaakte client/machine certificates.

/update 14:51
Je kan zelfs de client/machine certificate van de bedrijfslaptop beveiligen met apart pw gekoppeld aan een userid.
Hiermee kunnen users alleen met hun eigen laptop op wifi en niet met de laptop van een ander.
Maar goed... Dit is een beetje off-topic wat betreft de vraag van TS.

Bedankt voor jullie reacties :)

Over het certificaat moet ik even alles op een rijtje zetten, aangezien dit voor mij net iets te veel informatie is haha.
In mijn situatie zal het blijkbaar niet veel verschil maken of ik een "geldig" of een zelfondertekend certificaat gebruik. In windows, android en IOS krijg ik het helaas niet geïmporteerd (dat certificaat) dus daar moet ik nog eens naar kijken.
Wel heb ik al een tijdje gemerkt dat de samsung tablet "certificaat geldig" zegt als im in de browser op het slotje druk. De uitgever va dat certificaat is "Comodo EV Secure Server CA", en in Windows word ook het certificaat van de NAS als geldig verklaard. Alleen de uitgever ervan word niet vertrouwd.

over WPA2 Enterprise; het gemak van blokkeren is gewoon super handig. Ook om gasten te blokkeren als dat moet. Ik wilde even weten of Enterprise misschien minder veilig is dan Personal dus vandaar dat ik het vraag.

Bedankt voor alle reacties, linkjes en informatie :)

Een zelfondertekend certificaat is net zo veilig als een die door een derde partij ondertekend is. Alleen bij een zelfondertekend certificaat ben je zelf verantwoordelijk voor de controle. Maar dan moet je hem, na controle, wel aan je browser toevoegen zodat de waarschuwingen in de toekomst weg blijven. Als je elke keer aangeeft om door te gaan als je een waarschuwing krijgt, ben je fout bezig omdat het je dan niet opvalt als er een vreemd certificaat aangeboden wordt.