Re: Hotspot com certificado digital
Citação:
Postado originalmente por
willmartins82
Olá pessoal, blz!
Estou com um projeto de rede para um hotel com hotspot, porém estou tendo problemas com sites HTTPS. Quando alguém tentar acessar algum site com HTTPS antes de logar o navegador retorna erro e não redireciona para a pagina de login. Parece que isso é uma falha do mikrotik.
Achei vídeos ensinando a resolver o problema com o openssl, porém o navegar retorna um erro informando que esse a assinatura desse certificado não é segura. Ai o hospede teria que concordar e continuar navegando. Openssl funciona mais não é o ideal, já que a grande maioria dos usuário iniciam a navegação pela pesquisa do google (HTTPS) ou Facebook (HTTPS) e que ninguém ler a msg de erro, só vão disser que a internet não funciona.
Então eu aproveitei uma promoção do Go Daddy, Certificado por R$ 13,90. Imaginando que o certificado é para o domínio e não para o IP, fiz tudo o procedimento configurando no meu servidor (ex.: hs.meudominio.com) depois copiei os arquivos para o Mikrotik, também com o domínio hs.meudominio.com, e claro apaguei o subdominio do meu servidor. Mas não deu certo, bloqueia a navegação no site com HTTPS.
Então eu pergunto, como consigo instalar um certificado assinando pela Go Daddy ou qualquer outra empresa no meu Mikrotik?
Agradeço pela atenção de todos
Não é falha do Mikrotik não. Utilizo hotspot faz mais de 8 anos sem problemas. Deve ter configurado errado alguma função.
Re: Hotspot com certificado digital
/ip firewall nat add chain=pre-hotspot action=accept protocol=tcp dst-address-type=!local hotspot=!auth dst-port=443
/ip firewall filter add chain=hs-unauth action=drop protocol=tcp dst-address-type=!local dst-port=443
Achei essa regra num fórum gringo que bloqueia a porta 443 para quem ainda não logou. Isso faz com que não de erro de certificado, mas tbm não redireciona.
Alguém sabe como a partir disso eu redireciono para o ip 192.168.88.1?
Re: Hotspot com certificado digital
Citação:
Postado originalmente por
emilidani
Não é falha do Mikrotik não. Utilizo hotspot faz mais de 8 anos sem problemas. Deve ter configurado errado alguma função.
Eu estou utilizando a configuração básica para o hotspot funcionar com certificado. Não mexi em mais nada.
Vc criou alguma função a mais para o ssl funcionar?
Re: Hotspot com certificado digital
Citação:
Postado originalmente por
Pirigoso
cara da sim o caminho é este mesmo para nao aparecer menssagem so comprando
Só se comprar um certificado para cada domínio de site HTTPS que o cliente pensar em acessar antes de ter autenticado, o que é impossível não só pela quantidade, mas também por não ser dono de nenhum dos domínios.
Imagine:
1) O usuário tenta acessar https://www.google.com.br;
2) O navegador abre uma conexão TCP para www.google.com.br na porta 443;
3) O roteador detecta que o cliente de origem dessa conexão não está autenticado e a requisição é redirecionada transparentemente, a nível TCP (dst-nat), para o servidor web do hotspot;
4) O navegador não percebe nada, acha que a conexão foi estabelecida com o servidor verdadeiro que responde por www.google.com.br, então ele inicia o handshake SSL/TLS e no meio disso solicita o certificado para esse domínio;
5) Essa solicitação foi parar no servidor web do hotspot. Como ele vai enviar o certificado de www.google.com.br, sendo que ele não possui (apenas a Google possui)? Ele pode enviar um certificado auto assinado (igual à interceptação de HTTPS que alguns caches fazem), mas o navegador vai verificar sua base de autoridades certificadoras (CA) e vai ver que o certificado recebido não foi emitido por nenhuma delas, resultado em uma mensagem erro de quebra de confiança para o usuário.
Esse redirecionamento que o hotspot faz é um ataque man-in-the-midle, e é isso que o SSL/TLS evita que ocorra. Ou seja, não existe solução para esse "problema".
Re: Hotspot com certificado digital
Queria fazer autenticação pelo facebook. Mas pelo o que TsouzaR explicou e pelo que já pesquisei, realmente nao tem como....
Valeu a todos pela força....