Помилки SSL-сертифіката на захоплених порталах

10

Ситуація: гості готелю намагаються отримати доступ до Інтернету через наш захоплений портал. Проблема: Google, Yahoo і тепер все більше сайтів переспрямовують всі домашні сторінки на HTTPS, щоб гість отримував помилку з сертифікатом, коли ми перенаправляли їх на нашу сторінку входу. Цінність SSL полягає в тому, щоб зробити саме це, але цікавитись, чи є інший спосіб керування журналом гостя в процесі підтвердження, щоб підтвердити свою особу, перш ніж ввімкнути доступ через брандмауер. Це відлякують гостей, які не розуміють. По суті, потрібна інша архітектура для закритого порталу / аутентифікації, і дивуйтеся, які думки у когось є. Дякую.

ssl redirect

Можливе рішення: WPA2-Enterprise з сервером аутентифікації Radius.

— Ajedi32

Це не рішення, але наразі сервери як спосіб вирішення. Дозвольте користувачам отримувати доступ до https вільно, і при першому зверненні до http, вони будуть переспрямовані, коли галузь рухається все більше і більше до https, це буде застарілим.

— Куско

6

Все визначення поняття "портальний портал" обертається навколо "перенаправлення користувача без його відома", що є саме однією з речей, створених SSL.

Якщо перша URL-адреса, яку браузер намагається відкрити, це HTTPS, немає способу перенаправляти трафік без створення помилки сертифіката.

— Массімо
джерело

4

Так, я думаю, що ОП це розуміє. Питання було: яка альтернатива? (Наприклад, якщо кожен із існуючих веб-сайтів використовував HTTPS, як ви могли «керувати журналом гостя в процесі підтвердження» без

— закритого

5

У проекті Chromium є хороша сторінка, що описує, як працює їх логіка для виявлення порталів, що перебувають у полоні:

Спроба підключитися (звичайний HTTP) до відомого хоста + URI
Очікуйте HTTP 204 No Content
Якщо буде отримано іншу відповідь, припустімо, що це портал із захопленням.

У наданому посиланні є інші подробиці щодо того, як вони обробляють збої DNS при спробі вирішити відомий хост і т. Д. Це лише один приклад, але (на мій особистий досвід) сучасні проекти ОС використовують для подібних процесів подібні і підказує користувачеві навіть у деяких випадках перед тим, як користувач відкриє браузер. (Поміркуйте: той, хто хоче лише користуватися клієнтом IMAP або іншою службою, яка не є HTTP.) У такому випадку виявлення відбувається не через SSL / TLS, щоб уникнути вашої турботи.

RFC 6585 Розділ 6 пропонує новий код статусу HTTP 511 Network Authentication Required, який не допомагає вашому випадку SSL / TLS, але є ще одним стандартом, який ви можете врахувати, якщо ви ще не використовуєте його.

— Вільям Прайс
джерело

Android також має підтримку виявлення порталів, що перебувають у полоні. Коли він виявляє портал, що перебуває у полоні, він показує повідомлення на панелі стану. Формулювання - це щось на кшталт "Увійти до бездротової мережі". Це трапляється, навіть якщо жодна програма ще не намагалася використовувати з'єднання. У якийсь момент я також помітив портативний портал, який надсилає перенаправлення 30x із додатковим заголовком HTTP, вказуючи на те, що це портал, що перебуває у полоні, і тіло містить деякі дані XML. Я не знаю, чи це якась стандартна поведінка.

— kasperd

0

У будь-якому випадку, якщо користувачі отримують помилку сертифіката через те, що сертифікат не відповідає імені хоста сайту .

У вашому випадку це означає, що ви переспрямовуєте користувачів на свій портал, не змінюючи URL-адреси. Користувачі бачать " http://www.google.com " у своєму адресному рядку, але ваш портал на екрані. Очевидно, вони не відповідають, і сертифікат не відповідає.

Вам потрібно перенаправити їх у HTTP (перед переходом HTTPS) на адресу вашого порталу (або ім'я сервера), запросити їх увійти та знову перенаправити їх на призначене місце призначення, яке буде відповідати правильно.

Див. Https://en.wikipedia.org/wiki/URL_redirection#HTTP_status_codes_3xx про те, як це виконувати з кодами HTTP 3xx, спеціально 303.

— Запросити
джерело

Більшість користувачів, напевно, не вводять текст https:// , але будь-які збережені закладки чи інші механізми закріплення можуть призвести до того, що перший запит перейде до служби на базі HTTPS і, таким чином, не вдасться, оскільки рукостискання TLS не вдається, перш ніж досягти рівня протоколу HTTP для переадресації. Окрім закладок, приклади такого "закріплення" включають панель пошуку браузера, попередньо знаючи, що пошуковий оператор віддає перевагу запитам через HTTPS; або мобільний додаток, що підключається до захищених мережевих послуг.

— Вільям Прайс

-1

тимчасове рішення - це керівництво користувачів починати URL, починаючи з "http", лише після підключених сигналів Wi-Fi.

але, на жаль, користувачам це не подобається. вони кажуть, "як складний сервіс Wi-Fi у вас був"

— versi satu
джерело