场景:我们有一个设备(R)广播一个wifi网络。目标是能够将连接到此wifi的客户端设备限制为仅由R提供的内容.R具有提供内容的nginx服务器和用于呈现某些强制门户功能的节点服务。
挑战:虽然我们希望连接到Wifi的设备只能从R提供内容,但没有理由说用户不会键入Internet主机名(如https://google.com/)是他的浏览器的地址字段。对于此类互联网 http 网址,我们使用301将请求重定向到R的https服务,我们不会遇到任何问题,但是对于互联网上的互联网 https 网址,我们会收到客户端浏览器中不受信任的 https证书弹出窗口,我想废除它。
寻求解决方案:我希望 https 请求也可由R无缝提供,而客户端设备不会抱怨https证书。这可行吗?
答案 0 :(得分:0)
这是不可能的,因为它违反了事情应该如何运作。考虑一下:如果攻击者可以做同样的事情,他们可以将使用https的银行网站重定向到他们控制的服务器,无论是通过在同一网络上还是通过恶意软件。 https的性质可以防止这种情况发生。
答案 1 :(得分:0)
HTTPS是SSL / TLS隧道内的HTTP。要建立此隧道,您需要正确识别对等体,否则可能会发生中间人攻击。由于重定向是由HTTP完成的,因此首先需要建立SSL / TLS隧道,然后才能重定向。这意味着,如果您尝试重定向google.com,则需要一个证明自己为google.com的证书,此证书需要由浏览器信任的某个人(即受信任的根CA)签名。既然你没有这个并且可能永远不会得到(因为只有域的所有者才能获得这样的证书)你不能做什么。