Hotspot a https - nedůvěryhodné připojení

forkman

Ahoj, řeším takovou chuťovku, možná jsem to špatně pochopil, tak se ptám zkušenějších.

Mám hotspot v hospodě a pokud se host chce připojit hned na šifrovanou stránku přes https, hotspot ho přesměruje přes https na Mikrotika a prohlížeč správně hlásí, že s certifikátem je něco špatně, protože neodpovídá zadané adrese. Hodně zmatků v tom dělá Chrome, ten např u facebooku hned spojení zařízne.

Nedá se nějak nastavit, aby se pro https požadavky přesměrovala přihlašovací stránka na https? Podle mě to nejde, ale nezlobil bych se, nebo jak to řešíte vy? Na hotspotu je samozřejmě self signed certifikát.

Díky

majklik

Ale to je v pořádku, práve HTTPS je právě to, aby to řvalo. Řve ti to na dvě věci - jednak, že máš certifikát, který nemá v sobě :-)

Takže ais pak je lepší HTTPS nepřesměrovávat.

forkman

Bingo, lepší je https nepřesměrovávat a jak to mám teda udělat aby to pak s hotspotem fungovalo

majklik

Zkrátka HTTPS je dělán na to, aby právě na tohle řval, takže pokud nemáš hodně velký bakšiš na příslušný inter CA, tak smolík.

Jedině co můžeš, tak místo self signed použít něco podepsaného od StartSSL a podobných, pak při přísměrování HTTP na HTTPS login to nebude řvát vůbec a při přesměrování HTTPS na HTTPS login bude jen jedno řvaní, že certifikátu nesouhlasí jméno serveru.

Jinak tohle snad trápí ty, co tahají do hospody normální notebook? Doufám, že mobilní platformy dneska poznají, že tam je hotspot automaticky a nahodí hned po připojení k wifině login stránku hotspotu, aniž bych musel sám aktivně na nějaký web lézt, takže problém s HTTPS není.

Ještě k tomu Chrome. Zkus si ten self signed certifikát vygenerovat tak, aby měl RSA klíč minimálně 2048 bitů a pro podpis používal SHA256. Protože Chrome už něco implementoval dle dohod CA/B fóra s předstihem, tak jestli tam máš klasický 1024 bit certifikát a SHA1 podpis, tak to možná zařízne na tomto. Takto by se měly od příštího jara začít postupně chovat všechny prohlížeče na tyto "slabé certifikáty".