Bonjour,

Je ne pense pas que cela soit possible, du fait que Google utilise du HSTS en preload.
https://fr.m.wikipedia.org/wiki/HTTP_Strict_Transport_Security

Cordialement

Le 22 mai 2017 à 12:17, Julien Escario <escario@azylog.net> a écrit :

Bonjour,
Pour bien commencer la semaine, je tente de trouver une astuce pour un de mes
contacts (oui, je rends service).

Le problème est tout simple et maintes fois débattu : comment fait-on un portail
captif en 2017 quand les utilisateurs, une fois connectés, tapes automatiquement
https://www.google.fr dans le navigateur ?

Pour mémoire, un portail captif est censé intercepter les requêtes web et les
rediriger sur une page d'authentification (ou de pub) si le client n'est pas
encore validé.
Si le client tapes une première URL en https, ca finit invariablement sur une
erreur de certificat.
La seule solution qui me vient à l'esprit serait d'avoir un énorme certificat
wilcard. Impossible by design.
Sinon, installer un certificat 'fake' sur chaque poste client mais nous ne
sommes pas dans le cadre d'une base de clients 'maîtrisée' comme dans le parc
d'une entreprise.

Alors ? Il existe une astuce qui m'échappe ?
faire une authentification à l'aide d'autre chose que du site web ? Jouer avec
de la redirection au niveau IP (je ne vois pas comment) ? Bricoler avec du DNS
menteur ?

J'ai deux pistes :
* RFC7710 qui semble prometteur mais qui n'avance pas en terme d'implémentation.
* 802.1X : pas trop compris si ça permet de satisfaire aux exigences légales
françaises ni même si c'est réaliste en terme de mise en œuvre.

Merci pour vos lumières,
Julien



_______________________________________________
Liste de diffusion du FRsAG
http://www.frsag.org/
<smime.p7s>