La documentazione per questo prodotto è stata redatta cercando di utilizzare un linguaggio senza pregiudizi. Ai fini di questa documentazione, per linguaggio senza di pregiudizi si intende un linguaggio che non implica discriminazioni basate su età, disabilità, genere, identità razziale, identità etnica, orientamento sessuale, status socioeconomico e intersezionalità. Le eventuali eccezioni possono dipendere dal linguaggio codificato nelle interfacce utente del software del prodotto, dal linguaggio utilizzato nella documentazione RFP o dal linguaggio utilizzato in prodotti di terze parti a cui si fa riferimento. Scopri di più sul modo in cui Cisco utilizza il linguaggio inclusivo.
Cisco ha tradotto questo documento utilizzando una combinazione di tecnologie automatiche e umane per offrire ai nostri utenti in tutto il mondo contenuti di supporto nella propria lingua. Si noti che anche la migliore traduzione automatica non sarà mai accurata come quella fornita da un traduttore professionista. Cisco Systems, Inc. non si assume alcuna responsabilità per l’accuratezza di queste traduzioni e consiglia di consultare sempre il documento originale in inglese (disponibile al link fornito).
In questo documento viene descritto il comportamento dei client wireless quando si connettono a un'autenticazione di layer 3 tramite una rete WLAN (Wireless Local Area Network) dopo le modifiche apportate alla modalità di gestione dei certificati SSL (Secure Sockets Layer) da parte dei browser Web.
Cisco raccomanda la conoscenza dei seguenti argomenti:
Le informazioni fornite in questo documento si basano sulle seguenti versioni software e hardware:
Le informazioni discusse in questo documento fanno riferimento a dispositivi usati in uno specifico ambiente di emulazione. Su tutti i dispositivi menzionati nel documento la configurazione è stata ripristinata ai valori predefiniti. Se la rete è operativa, valutare attentamente eventuali conseguenze derivanti dall'uso dei comandi.
Hypertext Transfer Protocol (HTTP) il traffico dei siti Web su Internet non è sicuro e può essere intercettato ed elaborato da utenti non autorizzati. Pertanto, un maggiore uso del protocollo HTTP per le applicazioni sensibili è diventato necessario per implementare misure di sicurezza aggiuntive come la crittografia SSL/TLS, che costituisce HTTPS.
HTTPS richiede l'utilizzo di SSL certificati per convalidare l'identità di un sito web e consente di stabilire una connessione sicura tra il server web e il browser dell'endpoint. I certificati SSL devono essere emessi da un'Autorità di certificazione (CA) attendibile inclusa nell'elenco dei certificati radice CA attendibili dei browser e dei sistemi operativi.
Inizialmente, i certificati SSL utilizzavano l'algoritmo SHA-1 (Secure Hashing Algorithm versione 1), che utilizza un hash a 160 bit. Tuttavia, a causa di una varietà di debolezze, SHA-1 è stato progressivamente sostituito da SHA-2, un gruppo di algoritmi di hashing con diverse lunghezze tra cui il più popolare è 256 bit.
Un Web browser può non considerare attendibile un certificato SSL per diversi motivi, ma i motivi più comuni sono:
Quando le versioni precedenti dei browser Web rilevano un certificato di dispositivo come non attendibile, richiedono una protezione avviso (il testo e l'aspetto variano a seconda del browser). La sicurezza avviso chiede all'utente di accettare il rischio per la sicurezza e di continuare con il sito Web desiderato, oppure di rifiutare la connessione. Dopo l'accettazione il rischio che l'utente ottenga il comportamento di reindirizzamento per l'utente finale al portale vincolato previsto:
Nota: L'azione da eseguire può essere nascosta in Opzioni avanzate in browser specifici.
Le versioni di Google Chrome inferiori a 74 visualizzano l'avviso come mostrato nell'immagine:
Le versioni di Mozilla Firefox inferiori a 66 visualizzano l'avviso come mostrato nell'immagine:
Alcuni browser come Google Chrome e Mozilla Firefox hanno cambiato il modo in cui gestiscono le connessioni protette tramite la verifica dei certificati. Google Chrome (74.x e superiore) e Mozilla Firefox (6.x e superiore) richiedono al browser di inviare una richiesta senza cookie a URL esterni prima all'utente può essere consentito di passare al portale vincolato. Questa richiesta, tuttavia, viene intercettata dal controller wireless poiché tutto il traffico è bloccato prima che possa raggiungere lo stato di connettività finale. La richiesta quindi avvia un nuovo reindirizzamento al portale in modalità vincolata che crea un ciclo di reindirizzamento poiché l'utente non è in grado di vedere il portale.
Google Chrome 74.x e superiori visualizza l'avviso: Connetti a Wi-Fi Il Wi-Fi che si sta usando potrebbe richiedere di visitare la sua pagina di accesso, come mostrato nell'immagine:
Mozilla Firefox 6.x e versioni successive visualizza l'avviso: Accedi alla rete Per accedere a Internet è necessario accedere a questa rete, come mostrato nell'immagine:
Questa pagina include l'opzione Accetta il rischio e continua. Tuttavia, quando questa opzione è selezionata, viene creata una nuova scheda con le stesse informazioni.
Nota: Questo bug è stato presentato dal team ISE come riferimento esterno per i clienti:CSCvj04703 - Chrome: Il flusso di reindirizzamento sul portale guest/BYOD è interrotto con un certificato non attendibile sul portale ISE.
Disabilitare WebAuth SecureWeb sul WLC. Poiché il problema è causato dalla convalida del certificato per creare il meccanismo di sicurezza HTTPS, utilizzo HTTP per ignorare la convalida del certificato e consentire ai client di eseguire il rendering del portale vincolato.
Per disabilitare WebAuth SecureWeb sul WLC, è possibile eseguire il comando:
config network web-auth secureweb disable
Nota: Per rendere effettiva la modifica, è necessario riavviare il WLC.
Utilizzare browser Web alternativi. Finora il problema è stato isolato a Google Chrome, e Mozilla Firefox; pertanto, i browser quali Internet Explorer, Edge e i browser Web nativi Android non presentano questo comportamento e possono essere utilizzati per accedere al portale captive.
Poiché questa variante del processo di autenticazione Web consente il controllo delle comunicazioni tramite l'elenco degli accessi di preautenticazione, è possibile aggiungere un'eccezione in modo che gli utenti possano continuare a utilizzare il portale vincolato. Queste eccezioni vengono generate tramite gli elenchi degli accessi agli URL (il supporto inizia sulle versioni AireOS 8.3.x per le WLAN centralizzate e 8.7.x per le WLAN di switching locale FlexConnect). Gli URL possono dipendere dai browser, ma sono stati identificati come http://www.gstatic.com/ per Google Chrome e http://detectportal.firefox.com/ per Mozilla Firefox.
Per risolvere il problema, si consiglia di installare un certificato SSL WebAuth con algoritmo SHA-2, rilasciato da un'autorità di certificazione attendibile, nel WLC.
Attualmente non è disponibile una procedura di verifica per questa configurazione.
Al momento non sono disponibili informazioni specifiche per la risoluzione dei problemi di questa configurazione.