I portali in cattività agiscono essenzialmente come un man-in-the-middle, reindirizzando le richieste dei client verso un sito diverso (la loro pagina di accesso). Tecnicamente si tratta dello stesso tipo di comportamento che HTTPS tenta di impedire, perché è ciò che fanno i malintenzionati sulle connessioni HTTP non protette.
Pertanto, quando è possibile connettersi a un sito HTTPS da un captive portal senza un avviso e senza aver effettuato prima l'accesso al portale, è avvenuto uno dei seguenti eventi:
- Il captive portal non intercetta il traffico SSL ma lo consente. Di conseguenza, viene visualizzata immediatamente la pagina di destinazione, senza mai aver effettuato l'accesso. Tuttavia, dal punto di vista del provider, ciò in gran parte vanifica lo scopo di avere un captive portal in primo luogo.
- Una delle CA nell'elenco di CA attendibili o una CA subordinata verificata (direttamente o indirettamente) da una di queste CA radice è canaglia (o viene violata, anche se quest'ultima è improbabile se l'operatore WiFi è addirittura remoto ). Di conseguenza, l'hotspot dispone di un certificato con caratteri jolly (corrispondente a qualsiasi nome di server) o può emettere certificati arbitrari accettati dal browser. Di conseguenza, si digita un URL HTTPS e si ottiene invece la pagina di accesso senza alcun avviso.
Il secondo esempio è una debolezza intrinseca nella progettazione dei certificati: il tuo fornitore di browser / sistema operativo (o, nel caso di dispositivi aziendali, l'amministratore di sistema) ha distribuito un certificato CA sulla macchina, sostanzialmente affermando che "questa CA non emettere mai certificati per nessun server a nessuno che non sia l'operatore legittimo di quel server). A meno che tu non verifichi manualmente ciascuna CA e rimuova quelle discutibili (che è quasi impraticabile per un individuo), ti stai fidando ciecamente delle loro asserzioni.
Se nessuno dei due casi precedenti si applica, potrebbe verificarsi una delle seguenti condizioni:
- La connessione fallirebbe (a causa di un server non raggiungibile) fino a quando non ti connetti a un semplice server HTTP, tieni reindirizzato alla pagina di accesso e accedi
- Verrà visualizzato un avviso relativo a un certificato non valido: il nome del server non corrisponde o il certificato non proviene da una CA attendibile. Se ignori questo avviso, otterrai la pagina di accesso.