Antoine Boisjibault, Systemingenieur bei UCOPIA, einem französischen Unternehmen, das sich auf Captive-Portale spezialisiert hat, teilt sein Feedback zu diesem Thema. Dies gilt für die zahlreichen von UCOPIA geleiteten Projekte, aber auch für jede Captive-Portal-Technologie. Dies ist ein wiederkehrendes Thema bei unseren Kunden und wurde bereits in unserem Blog im folgenden Artikel besprochen.
Wifi-Captive-Portal: Definition
Um die von Benutzern gemeldeten „HSTS“-Fehlerprobleme zu beheben, haben Betriebssystem-/Hardware-Herausgeber einen sogenannten „CNA“-Assistenten implementiert. (Der „Captive Network Assistant“ gibt es nur bei Apple-Produkten.)
Dieser Assistent erspart dem Benutzer, einen Webbrowser zu starten, um das Captive-Portal anzuzeigen.
Auf beliebte Weise: Captive-Portale sind ein Mechanismus, der den Benutzerfluss abfängt und ihm Inhalte präsentiert, die er nicht selbst angefordert hat, um ihn zur Authentifizierung zu zwingen.
Was sind die Benutzerprobleme bezüglich des Captive-Portals?
Das HTTPs-Protokoll (und das HSTS-Overlay, das es verwendet) soll garantieren, dass der von einem Client empfangene Inhalt tatsächlich der von ihm angeforderte ist.
Hier besteht eine Inkompatibilität zwischen den beiden Technologien.
Hier ist das Detail dessen, was passiert:
• Wenn ein nicht authentifizierter Benutzer auf UCOPIA (oder einem anderen Captive-Portal) versucht, auf eine sichere Website (https://www.google.fr oder https://www.mabanque.com) zuzugreifen, wird das Captive-Portal (auch sicher, in HTTPS) wird angezeigt.
• Der verwendete Browser ruft dann das Zertifikat des Captive-Portals ab und nicht das der ursprünglich angeforderten Site. Daher diese Sicherheitswarnung, die in Standard-HTTPS einfach akzeptiert werden kann (und in HSTS blockiert).
Aus diesem Grund haben die meisten Betriebssystemanbieter (für Computer oder Mobiltelefone) kürzlich Captive-Portal-Verbindungsassistenten implementiert:
Apple CNA für mobile Geräte (und MAC) Apple: die berühmte Seite, die sich von selbst öffnet, wenn Sie eine WLAN-Verbindung herstellen.
Dies erscheint als Benachrichtigung für Android-Geräte (Anfrage an http://connectivitycheck.gstatic.com/generate_204 unter Marshmallow und http://clients3.google.com/generate_204 für Kitkat).
Konsistente Verbindungsbehandlung für Microsoft,
– was wie bei Geräten der Marke Apple auf Mobilgeräten funktioniert
– das das Öffnen eines Browsers unter Windows 8.1 bietet
– Dadurch wird unter Windows 7 eine Benachrichtigung in der Taskleiste angezeigt
– wodurch der Browser unter Windows 10 geöffnet wird
Das Problem der ersten Seite in HTTPS tritt bei Verwendung dieser Mechanismen also nicht auf, sondern wird vom Betriebssystem übernommen.
Anschließend können Sie überprüfen, ob an die betreffenden Smartphones und Tablets eine Benachrichtigung gesendet wird, die den Benutzer zum Öffnen seines Browsers auffordert.
Für Geräte mit Windows 8 und 10: Sie können den WLAN-Assistenten nutzen.
Nach der Authentifizierung bei UCOPIA wird dem Benutzer diese Sicherheitswarnung nicht mehr angezeigt.
Eine weitere mögliche Alternative: Wenn Sie die Standard-Homepage des Browsers in eine HTTP-Seite ändern, wird die Zertifikatswarnung nicht angezeigt.
Wenn der Benutzer diese Mechanismen nicht durchläuft (entweder weil er freiwillig auf deren Schließung klickt oder weil sein System nicht damit ausgestattet ist) und seine erste Anfrage in HTTPs oder sogar HSTS erfolgt:
• In seinem Browser wird eine Fehlermeldung angezeigt, die darauf hinweist, dass er https://www.google.com angefordert hat und dass ihm https://controller.access.network/ (standardmäßig im Fall von UCOPIA) geantwortet hat.
• Dieser Fehler kann für Websites in HTTPs ignoriert werden.
• Wenn die ursprünglich angeforderte Site HSTS unterstützt, kann der Fehler nicht ignoriert werden und der Benutzer kann nicht fortfahren.
Um die Weiterleitung zum Captive-Portal zu erhalten, kann der Benutzer einfach eine Seite in HTTP anfordern, damit die Weiterleitung durchgeführt werden kann.
Beachten Sie schließlich, dass die neuen Versionen der gängigsten Webbrowser beginnen, von einem Assistenten zu profitieren, der Captive-Portal-Konzepten gewidmet ist, ein Beispiel für die Darstellung in Firefox 52:
Ein Beispiel für die Darstellung der erhaltenen Warnung (keine HSTS-Blockierung mehr) sowie das Öffnen des Captive-Portals in einem neuen Tab mit einem Aufruf von http://detectportail.firefox.com/success.txt, der eine Weiterleitung zum ermöglicht Portal.
Auf der zweiten Registerkarte (standardmäßig geöffnet) wird dem Benutzer das Captive-Portal UCOPIA angezeigt.
Dies sollte bald geschehen, da andere Editoren wie Chrome oder IE bereits unter Chromium verfügbar sind.
Eine IETF-Arbeitsgruppe wurde eingerichtet, um den Fortschritt zu überwachen und Standards als Reaktion auf diese Probleme im Zusammenhang mit Captive-Portalen umzusetzen: Weitere Informationen zu diesem Thema finden Sie unter dieser Adresse.
