Ahoj, řeším takovou chuťovku, možná jsem to špatně pochopil, tak se ptám zkušenějších.
Mám hotspot v hospodě a pokud se host chce připojit hned na šifrovanou stránku přes https, hotspot ho přesměruje přes https na Mikrotika a prohlížeč správně hlásí, že s certifikátem je něco špatně, protože neodpovídá zadané adrese. Hodně zmatků v tom dělá Chrome, ten např u facebooku hned spojení zařízne.
Nedá se nějak nastavit, aby se pro https požadavky přesměrovala přihlašovací stránka na https? Podle mě to nejde, ale nezlobil bych se, nebo jak to řešíte vy? Na hotspotu je samozřejmě self signed certifikát.
Díky
❗️Toto je původní verze internetového fóra ISPforum.cz do února 2020 bez možnosti registrace nových uživatelů. Aktivní verzi fóra naleznete na adrese https://telekomunikace.cz
Hotspot a https - nedůvěryhodné připojení
Ale to je v pořádku, práve HTTPS je právě to, aby to řvalo. Řve ti to na dvě věci - jednak, že máš certifikát, který nemá v sobě http://www.facebook.com, když zrovna přesměrováváš z Facebooku. Podruhé, že ten certifikát není pro klienta důvěryhodný, protože je self signed. To druhé jde odstranit snadno, místo self signed si nech kažoročně podepsat certifikát zdarma třeba od StarSSL, akorát jako hotspot jméno použiješ něco známeho v DNS, takže třeba hotspot.hospoda.cz. S tím, aby souhlasilo jméno v certifikátu a neřvalo to na tom, tak to je už horší. Ale pokud ti nebude dělat problém použít částku v řádu stovky tisíc USD a dostatečně si to zdůvodnit, tak si můžeš koupit intermediate CA od nějaké "důvěryhodné CA" a dynamicky podepsovat certifikáty dle potřeby s potřebným jménme, co právě přesměrováváš. 
Takže ais pak je lepší HTTPS nepřesměrovávat.
Takže ais pak je lepší HTTPS nepřesměrovávat.
0 x
Bingo, lepší je https nepřesměrovávat a jak to mám teda udělat aby to pak s hotspotem fungovalo 
0 x
Zkrátka HTTPS je dělán na to, aby právě na tohle řval, takže pokud nemáš hodně velký bakšiš na příslušný inter CA, tak smolík.
Jedině co můžeš, tak místo self signed použít něco podepsaného od StartSSL a podobných, pak při přísměrování HTTP na HTTPS login to nebude řvát vůbec a při přesměrování HTTPS na HTTPS login bude jen jedno řvaní, že certifikátu nesouhlasí jméno serveru.
Jinak tohle snad trápí ty, co tahají do hospody normální notebook? Doufám, že mobilní platformy dneska poznají, že tam je hotspot automaticky a nahodí hned po připojení k wifině login stránku hotspotu, aniž bych musel sám aktivně na nějaký web lézt, takže problém s HTTPS není.
Ještě k tomu Chrome. Zkus si ten self signed certifikát vygenerovat tak, aby měl RSA klíč minimálně 2048 bitů a pro podpis používal SHA256. Protože Chrome už něco implementoval dle dohod CA/B fóra s předstihem, tak jestli tam máš klasický 1024 bit certifikát a SHA1 podpis, tak to možná zařízne na tomto. Takto by se měly od příštího jara začít postupně chovat všechny prohlížeče na tyto "slabé certifikáty".
Jedině co můžeš, tak místo self signed použít něco podepsaného od StartSSL a podobných, pak při přísměrování HTTP na HTTPS login to nebude řvát vůbec a při přesměrování HTTPS na HTTPS login bude jen jedno řvaní, že certifikátu nesouhlasí jméno serveru.
Jinak tohle snad trápí ty, co tahají do hospody normální notebook? Doufám, že mobilní platformy dneska poznají, že tam je hotspot automaticky a nahodí hned po připojení k wifině login stránku hotspotu, aniž bych musel sám aktivně na nějaký web lézt, takže problém s HTTPS není.
Ještě k tomu Chrome. Zkus si ten self signed certifikát vygenerovat tak, aby měl RSA klíč minimálně 2048 bitů a pro podpis používal SHA256. Protože Chrome už něco implementoval dle dohod CA/B fóra s předstihem, tak jestli tam máš klasický 1024 bit certifikát a SHA1 podpis, tak to možná zařízne na tomto. Takto by se měly od příštího jara začít postupně chovat všechny prohlížeče na tyto "slabé certifikáty".
0 x