В идеале, как HSTS / SSL Everywhere / Let's encrypt должны работать с подключенными порталами Wi-Fi?
Некоторым перехватывающим порталам Wi-Fi требуется возможность 301/302 перенаправлять пользователя на страницу аутентификации / условий обслуживания, прежде чем разрешить доступ в Интернет.
Это противоречит протоколу SSL, который не может быть перехвачен обычным кафе, предлагающим клиентам услуги Wi-Fi. В этом случае пользователи могут получить ошибку SSL при подключении к https://Facebook.com и сертификат выпущен частным образом. Очевидно, безопасность нет-нет.
Итак, теперь с Wifi + HTTPS соединение не будет установлено. Умные пользователи могут перейти к версии сайта «http: //», чтобы «запустить» перенаправление, но это больше не является надежным с HSTS и закреплением сертификата, поскольку перенаправление портала не может быть отправлено.
С ростом популярности HSTS и закрепления многие из веб-сайтов, которые пользователь «догадывается», приводят к ошибке браузера и отсутствию перенаправления на локальную точку аутентификации.
Вопрос
- Каково идеальное смягчение этого? Какие конкретные передовые практики?
- Следует ли мне рассматривать отсутствие SSL в голом домене / root и www для выполнения перенаправления?
- Следует ли мне использовать совершенно другой TLD для HSTS?
Я прошу, чтобы я мог найти компромисс между удобством использования и безопасностью в каждом конкретном случае.
Я не рекомендую явно решать проблемы адаптивного портала на стороне сервера. Мобильные устройства уже включают обнаружение скрытого портала, как и Chrome , и я думаю, что видел это и в Firefox. Эти существующие механизмы распознают проблемы из-за связанных порталов и дают пользователю возможность принять необходимые условия и т. Д. В отдельном окне или даже приложении.
На данный момент нет способа чисто перенаправить HTTPS. IETF уже работает над решением , и первая веха - август 2018 г.
Но Android и iOS обнаружат захватывающий портал и попросят пользователя войти в систему, а пользователи Windows / MacOS получат уведомление тоже. Вы можете разместить QR-коды на портале аутентификации, и люди будут искать помощи у стен. Сегодня ничто не может стоять между подростками и WIFI ...
Не работает. И становится все труднее обойти это, поскольку все больше и больше сайтов переходят на HTTPS и HSTS.
http:// Neverssl.com был явно настроен как сайт, чтобы обойти это, но это зависит от пользователь, знающий об этом сайте.
С вашим сайтом вы ничего не можете сделать без явного ущерба для безопасности вашего сайта (например, отключив HSTS и надеясь, что пользователи не добавят в закладки HTTPS сайт).