Ошибки SSL-сертификата в Captive Portals

10

Ситуация: гости отеля пытаются получить доступ к интернету через наш портал. Проблема: Google, Yahoo и теперь все больше и больше сайтов перенаправляют все домашние страницы на HTTPS, поэтому гость получает ошибку сертификата, когда мы перенаправляем их на страницу входа. Целью SSL является именно это, но интересно, есть ли другой способ управления гостевым входом в процесс подтверждения для подтверждения их личности, прежде чем разрешить доступ через брандмауэр. Это бесит гостей, которые не понимают. В основном нужна другая архитектура для неавторизованного портала / процесса аутентификации и интересно, какие мысли у кого-то есть. Спасибо.

ssl redirect

Возможное решение: WPA2-Enterprise с сервером аутентификации Radius.

— Ajedi32

Это не решение, но на данный момент серверы в качестве обходного пути. Предоставьте пользователям бесплатный доступ к https, и при первом обращении к http они будут перенаправлены по мере того, как индустрия все больше и больше переходит на https, это устареет.

— Куско

6

Полное определение «пленного портала» вращается вокруг «перенаправления пользователя без его / ее ведома», что является одной из вещей, которых SSL был создан, чтобы избежать.

Если первый URL, который пытается открыть браузер, - это HTTPS, нет способа перенаправить трафик без создания ошибки сертификата.

— Massimo
источник

4

Да, я думаю, что ОП понимает это. Вопрос был: какова альтернатива? (Например, если бы каждый существующий сайт использовал HTTPS, как вы могли бы «управлять процессом подтверждения гостевого входа» без

— встроенного

5

В проекте Chromium есть хорошая страница, описывающая, как работает их логика для обнаружения захваченных порталов:

Попытка подключиться (обычный HTTP) к общеизвестному хосту + URI
ожидать HTTP 204 No Content
Если получен другой ответ, предположим, что это портал для авторизации.

В предоставленной ссылке есть и другие подробности относительно того, как они обрабатывают сбои DNS при попытке разрешить известный хост и т. Д. Это только один пример, но (по моему личному опыту) современные конструкции ОС используют процессы, аналогичные этим, для обнаружения и запрашивать пользователя даже в некоторых случаях, прежде чем пользователь откроет браузер. (Учтите: кто-то, кто хочет использовать только клиент IMAP или другую службу, отличную от HTTP.) В этом случае обнаружение происходит не по протоколу SSL / TLS, поэтому ваше беспокойство избегается.

В Разделе 6 RFC 6585 предлагается новый код состояния HTTP 511 Network Authentication Required, который не помогает вашему случаю SSL / TLS, но является другим стандартом, который вы могли бы рассмотреть, если вы его еще не используете.

— Уильям Прайс
источник

Android также имеет поддержку для обнаружения плененных порталов. Когда он обнаруживает захваченный портал, он отображает сообщение в строке состояния. Формулировка выглядит как «Войдите в беспроводную сеть». Это происходит, даже если ни одно приложение еще не пыталось использовать соединение. В какой-то момент я также заметил, что захваченный портал отправлял 30-кратное перенаправление с дополнительным заголовком HTTP, указывая, что это был пленный портал, а тело содержало некоторые данные XML. Я не знаю, стандартное ли это поведение.

— Касперд

0

В любом случае, если пользователи получают сертификат, ошибка вызвана тем, что сертификат не совпадает с именем хоста сайта .

В вашем случае это означает, что вы перенаправляете пользователей на свой портал без изменения URL. Пользователи видят " http://www.google.com " в своей адресной строке, а ваш портал - на экране. Очевидно, что они не совпадают, и сертификат не совпадает.

Вам необходимо перенаправить их в HTTP (до перехода по HTTPS) на адрес вашего портала (или имя сервера), заставить их войти в систему, а затем снова перенаправить их в пункт назначения, который будет соответствовать правильно.

См. Https://en.wikipedia.org/wiki/URL_redirection#HTTP_status_codes_3xx, чтобы узнать, как выполнить это с кодами HTTP 3xx, особенно 303.

— Envite
источник

Большинство пользователей, вероятно, не печатают https:// , но любые сохраненные закладки или другие механизмы закрепления могут привести к тому, что первый запрос перейдет в службу на основе HTTPS и, таким образом, завершится неудачей, потому что установление связи TLS не удается до достижения уровня протокола HTTP для перенаправления. Помимо закладок, примеры такого «закрепления» включают в себя панель поиска браузера, в которой заранее известно, что поставщик поиска предпочитает запросы через HTTPS; или мобильное приложение, подключающееся к защищенным сетевым сервисам.

— Уильям Прайс

-1

Временное решение - помочь пользователям начать URL-адрес, начинающийся с «http», только после подключенных сигналов Wi-Fi.

но, к сожалению, пользователям это не нравится. они говорят, "как сложный сервис Wi-Fi у вас был"

— версия сату
источник