O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve o comportamento dos clientes sem fio quando eles se conectam a uma autenticação de Camada 3 da rede local sem fio (WLAN) após alterações feitas em como os navegadores da Web lidam com certificados SSL (Secure Sockets Layer).
A Cisco recomenda que você tenha conhecimento destes tópicos:
As informações neste documento são baseadas nestas versões de software e hardware:
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Protocolo de Transferência de Hipertexto (HTTP) o tráfego de sites na Internet não é seguro e pode ser interceptado e processado por indivíduos não intencionais. Portanto, o maior uso de HTTP para aplicativos sensíveis tornou-se necessário para implementar medidas de segurança adicionais como criptografia SSL/TLS, que constitui HTTPS.
O HTTPS requer o uso de SSL certificados para validar a identidade de um site e permite estabelecer uma conexão segura entre o servidor da Web e o navegador do endpoint. Os certificados SSL devem ser emitidos por uma autoridade de certificação (AC) confiável incluída na lista de certificados raiz de CA confiáveis de navegadores e sistemas operacionais.
Inicialmente, os certificados SSL usavam o Secure Hashing Algorithm versão 1 (SHA-1), que usa um hash de 160 bits. No entanto, devido a uma variedade de fraquezas, o SHA-1 foi progressivamente substituído pelo SHA-2, um grupo de algoritmos hash com diferentes comprimentos entre os quais o mais popular é 256 bits.
Há vários motivos para um navegador da Web não confiar em um certificado SSL, mas os motivos mais comuns são:
Quando versões anteriores de navegadores da Web detectam um certificado de dispositivo como não confiável, eles solicitam uma segurança alerta (texto e aparência variam em cada navegador). A segurança alerta solicita que o usuário aceite o risco de segurança e continue no site desejado, ou recuse a conexão. Após a aceitação do o risco de o usuário obter o comportamento de redirecionamento do usuário final para o portal cativo pretendido:
Note: A ação a prosseguir pode ser oculta em Opções avançadas em navegadores específicos.
As versões do Google Chrome inferiores a 74 exibem o alerta como mostrado na imagem:
As versões inferiores a 66 do Mozilla Firefox exibem o alerta como mostrado na imagem:
Alguns navegadores da Web, como o Google Chrome e o Mozilla Firefox, mudaram a forma como lidam com conexões seguras através da verificação de certificados. O Google Chrome (74.x e superior) e o Mozilla Firefox (66.x e superior) exigem que o navegador envie uma solicitação sem cookies para URLs externas antes o usuário pode ter permissão para navegar até o portal cativo. Essa solicitação, no entanto, é interceptada pelo Wireless Controller, pois todo o tráfego é bloqueado antes de chegar ao estado de conectividade final. A solicitação em seguida inicia um novo redirecionamento para o portal cativo que cria um loop de redirecionamento desde o usuário não pode consulte o portal.
O Google Chrome 74.x e superior exibe o alerta: Conectar-se ao Wi-Fi O Wi-Fi que você está usando pode exigir que você visite sua página de login, como mostrado na imagem:
O Mozilla Firefox 66.x e superior exibe o alerta: Fazer login na rede Você deve fazer login nessa rede antes de acessar a Internet, como mostrado na imagem:
Esta página inclui uma opção Aceitar o Risco e Continuar. No entanto, quando essa opção é selecionada, uma nova guia com as mesmas informações é criada.
Note: Este bug de documentação foi enviado pela equipe do ISE como referência externa para os clientes: CSCvj04703 - Chrome: O fluxo de redirecionamento no portal convidado/BYOD é interrompido com certificado não confiável no portal do ISE.
Desative WebAuth SecureWeb na WLC. Como o problema é causado pela validação do certificado para criar o mecanismo de segurança HTTPS, use HTTP para ignorar a validação do certificado e permitir que os clientes processem o portal cativo.
Para desabilitar o WebAuth SecureWeb na WLC, você pode executar o comando:
config network web-auth secureweb disable
Note: Você deve reinicializar a WLC para que a alteração entre em vigor.
Usar navegadores da Web alternativos. Até o momento, o assunto foi isolado no Google Chrome e no Mozilla Firefox; portanto, navegadores como Internet Explorer, Edge e navegadores nativos da Web Android não apresentam esse comportamento e podem ser usados para acessar o portal cativo.
Como essa variação do processo de autenticação da Web permite o controle de comunicações através da lista de acesso de pré-autenticação, uma exceção pode ser adicionada para que os usuários possam continuar no portal cativo. Essas exceções são feitas através de listas de acesso de URL (o suporte começa nas versões 8.3.x do AireOS para WLANs centralizadas e 8.7.x para WLANs de switching local do FlexConnect). Os URLs podem depender de navegadores da Web, mas foram identificados como http://www.gstatic.com/ Google Chrome e http://detectportal.firefox.com/ para o Mozilla Firefox.
Para resolver esse problema, é recomendável instalar um certificado SSL WebAuth com algoritmo SHA-2, emitido por uma autoridade de certificação confiável, na WLC.
No momento, não há procedimento de verificação disponível para esta configuração.
Atualmente, não existem informações disponíveis específicas sobre Troubleshooting para esta configuração.