Visiblement, tu n’es pas le seul à attendre la RFC qui va bien :) http://community.arubanetworks.com/t5/Technology-Blog/Captive-Portal-why-do-I-get-those-certificate-warnings/ba-p/268921
> Le 23 mai 2017 à 10:44, Julien Escario <esca...@azylog.net> a écrit : > > Le 23/05/2017 à 10:17, Dominique Rousseau a écrit : >> Le Tue, May 23, 2017 at 09:30:28AM +0200, SERRUT Arnaud [qqq...@gmail.com] a >> écrit: >> [...] >>> Si tu te fiche de qui se connecte à ton réseau mais que tu veux >>> seulement protéger les accès Web, tu fais rediriger tous tes flux web >>> vers ton proxy qui montre un portail captif. Une fois l'utilisateur >>> authentifié, le proxy devient transparent. >> >> Tout ca fonctionne tres bien quand tu interceptes de l'HTTP. >> (et une fois le proxy en mode "autorisation" ca va pour l'HTTPS) > > Huh ? Qu'est-ce que tu entends par proxy en mode 'autorisation' ? > >> Le probleme qui motive le thread, c'est lorsque la toute premiere >> tentative de connexion, qu'il faut intercepter, et faire aboutir pour >> afficher la demande d'identification, est faite en HTTPS. >> Ce qui va etre le cas pour "www.google.fr" que beaucoup de monde a mis >> comme page par défaut, et qui a une politique HSTS embarquée dans les >> navigateurs. > > Merci, j'ai l'impression de ne pas avoir posé correctement la problématique. > > Je SAIS monter un portail captif, notamment avec de l'Unifi. Ca marche très > bien > avec Android (qui fait un check en HTTP sur connectivitycheck.google-truc) ou > IOS (même chose à la loiche). Windows 10, je n'avais pas vérifier le > comportement mais il semble avoir pris également de bonne habitudes. > > Non, le soucis c'est un ordi portable sous Windows 7/8/Linux/Whatelse qui se > connecte au wifi (sans WPA, cé maaal) et qui ensuite ouvre son navigateur qui, > par défaut, ouvre https://fr.yahoo.com, https://www.google.pl ou encore > https://account.live.com/. > > Dans ce cas précis (mais pas rare), mon confrère avec lequel nous menons cette > réflexion se prend IMMÉDIATEMENT un appel de support parce, je cite, "le wifi > marche pas" (Hôtels, chambre d'hôtes, bref, des touristes étrangers pas > toujours > francophone). > > Alors il explique qu'il faut ouvrir http://orange.fr ou http://lemonde.fr ou > un > de ces sites qui font du CDN qui ne sait pas leur fournir de SSL. > Sauf que d'ici peu (hum) de temps, ces sites vont enfin rajouter du SSL et il > ne > restera plus que la possibilité d'en trouver qui n'a pas rajouté de HSTS et de > lui dire de bypasser la vérification du certificat. C'est moche et ça donne de > mauvaises habitudes aux end-users (si le mal n'est pas déjà fait). > > C'est cette problématique que je tente de contourner. Si, en bonus, on a une > solution qui permet d'éviter d'ouvrir des AP sans WPA, j'avoue que je ne > cracherais pas dessus. > > Julien > > _______________________________________________ > Liste de diffusion du FRsAG > http://www.frsag.org/ _______________________________________________ Liste de diffusion du FRsAG http://www.frsag.org/
