Hotspot Https

А что именно не работает и как именно?

Привет, можешь найти решение, чтобы использовать https-страницы для входа? Надеюсь, скоро кто-то решит проблему с протоколом https, потому что сейчас мы используем только веб-страницы на https.

но тогда зачем активировать опцию выбора https, если её нельзя использовать? может кто-то использовать редирект на https для этой функции?

У него есть разные части: Https для страницы входа в хотспот. Я начинаю с конца, потому что это простая часть. После http-редиректа или после того, как клиентское устройство активно обнаружит хотспот, пользователь получает страницу входа, скажем, hotspot.yourcompany.tld. Эта страница может использовать http или https. Поскольку пользователь может вводить данные, которые нужно защитить, лучше использовать https. Эта часть работает без проблем, нужно просто получить сертификат, действительный для hotspot.yourcompany.tld, от доверенного центра сертификации. Можно купить его у коммерческого центра сертификации или получить бесплатно от Let’s Encrypt (это потребует немного дополнительных усилий, потому что RouterOS не поддерживает получение сертификата встроенными средствами). Перехват и редирект http-запросов. Это работает нормально, потому что http читается, и любой на пути может изменить передаваемые данные. Это называется атакой MITM (человек посередине). Хотспот делает именно это. Перехват и редирект https-запросов. Это не работает, потому что https зашифрован, и никто не может изменить передаваемые данные. Это хорошо, потому что защищает вас от атакующих. Но это также нарушает редирект хотспота. Существует два «решения» для этого, оба плохие: 3a) Хотспот редиректит https-соединения так же, как http. Но поскольку целевой веб-сервер (т.е. хотспот) не может иметь действительный сертификат, например, для www.google.com, пользователи увидят ошибки сертификата. 3b) Хотспот блокирует https-соединения. С одной стороны, пользователи не получают ошибки сертификата. Но они получат ошибки неудачного соединения. Одно из двух, это не хорошо. Я думаю, что вариант B немного лучше, не потому что он более полезен, а по крайней мере он не учит пользователей плохим привычкам (игнорирование ошибок сертификата — очень плохая привычка). Но опять же, не отчаивайтесь, потому что обычно это всё равно работает. Браузеры или операционные системы отправляют фоновые http-запросы на свой тестовый сервер, который возвращает некоторые предопределенные данные. Это незашифрованный http, поэтому хотспот перенаправляет его и изменяет данные, и это можно легко обнаружить, произошло ли это или нет. Если нет, доступ в интернет должен быть открыт. Если это что-то отличное от ожидаемого, вероятно, есть хотспот, и эта страница показывается пользователю.

Какой именно момент в посте #12 от @Sob неясен? Я думал, что сообщение ясно дает понять, что все зависит от администратора (и беспроводного клиента) в правильной обработке обнаружения точек доступа, не так много зависит от MT. Только одна единственная вещь: создание HTTP-редиректа на HTTPS-страницу точки доступа, если она существует... поскольку обнаружение точки доступа работает надежно только с использованием обычного HTTP, необходима правильная переадресация, чтобы клиент знал, что за этим следует соединение HTTPS.

Судя по вашим постам, тем, кто собирается использовать Mikrotik для хотспотов, лучше отказаться от этого проекта.

http://www.hotspotsystem.com/hotspot-software есть этот сайт, который предлагает сервис точки доступа для интеграции на ваш роутер. Только вот мне нравится управлять всем самостоятельно, без использования стороннего ПО. Сейчас я тестирую сертификат, который сам создал, а аутентификацию делаю только на https, пока, похоже, всё работает без ошибок... посмотрим со временем.