Skip to main content
Français
Tarifs

Qu'est-ce qu'un Captive Portal ? Le guide complet

Ce guide technique complet explique le fonctionnement des Captive Portals, leur architecture réseau sous-jacente et comment les responsables informatiques peuvent transformer un WiFi invité basique en un moteur de données de première partie sécurisé et conforme. Il couvre les méthodes d'authentification, les meilleures pratiques de segmentation et le dépannage pour les déploiements en entreprise.

📖 7 min de lecture📝 1,542 mots🔧 2 exemples3 questions📚 8 termes clés

🎧 Écouter ce guide

Voir la transcription
What Is a Captive Portal? The Complete Guide — A Purple WiFi Intelligence Briefing [INTRODUCTION & CONTEXT — approximately 1 minute] Welcome to the Purple WiFi Intelligence Briefing. I'm your host, and today we're covering one of the most foundational pieces of enterprise guest networking infrastructure: the captive portal. If you're an IT manager, a network architect, or a venue operations director, you've almost certainly deployed one — or you're about to. But there's a significant gap between organisations that treat a captive portal as a simple login gate, and those that treat it as a strategic data asset. By the end of this briefing, you'll know exactly where your deployment sits on that spectrum, and what it would take to move it forward. Let's get into it. [TECHNICAL DEEP-DIVE — approximately 5 minutes] So, what is a captive portal? At its most basic, a captive portal is a network access control mechanism that intercepts a guest device's HTTP or HTTPS traffic and redirects it to a web-based authentication page before granting access to the wider internet. The term "captive" is quite literal — the device is held in a restricted network state until the user completes an authentication step. The technology has been around since the early 2000s, but modern deployments are considerably more sophisticated than the simple username-and-password pages of that era. Let's walk through the technical architecture. When a guest device connects to a WiFi access point, the network controller assigns it an IP address via DHCP, but places it in a restricted VLAN — a virtual local area network segment that has no internet routing. The controller or a dedicated captive portal server then uses one of two interception mechanisms. The first is DNS hijacking. Every DNS query the device makes is intercepted and resolved to the IP address of the captive portal server, regardless of the actual domain being queried. So when a device tries to reach, say, example.com, it gets the portal page instead. The second mechanism is HTTP redirection via an inline gateway or a transparent proxy. When the device makes an HTTP request, the gateway intercepts it at Layer 3 or Layer 4 and issues a 302 redirect to the portal URL. Modern operating systems — iOS, Android, Windows, and macOS — all have what's called a Captive Network Assistant, or CNA. This is a built-in mechanism that probes for internet connectivity by making an HTTP request to a known endpoint immediately after joining a network. If it receives anything other than the expected response, it automatically pops up the portal page in a lightweight browser window. This is why, on most modern devices, the portal appears almost instantly after you join a guest network. Now, once the user lands on the portal page, what authentication methods are available? There are four primary approaches, each with distinct trade-offs. Click-through is the simplest. The user accepts terms and conditions and is immediately granted access. There's no identity verification, minimal data capture, but it's the lowest-friction option. It's commonly used in public-sector environments like libraries and transport hubs where accessibility is the priority. Social login uses OAuth 2.0 to authenticate via a third-party identity provider — typically a social media platform. The user grants the portal permission to read basic profile data. This gives you verified identity, demographic data, and potentially a marketing opt-in, but it requires careful GDPR consent management and your privacy policy must be watertight. Email or SMS authentication requires the user to enter a contact detail that is then verified via a one-time code. This is the sweet spot for most commercial deployments — you get a verified, first-party contact record, a clear marketing opt-in pathway, and it's compliant with GDPR Article 6 lawful basis requirements when implemented correctly. Finally, voucher or PMS integration is the gold standard for hospitality. The guest receives a unique access code at check-in — either printed on their key card envelope or delivered via the property management system. This ties WiFi access directly to a confirmed booking, which is valuable both for security and for correlating WiFi behaviour with reservation data. From a network standards perspective, captive portals operate at Layer 2 and Layer 3 of the OSI model. The underlying wireless infrastructure typically runs WPA2 or WPA3 on the management SSID, while the guest SSID may be open or use WPA2-Personal with a shared passphrase. IEEE 802.1X is the standard for port-based network access control, and while it's more commonly associated with enterprise SSIDs, it can be integrated into captive portal workflows for higher-assurance environments. For organisations handling payment card data, PCI DSS requires that cardholder data environments are isolated from guest networks. A correctly segmented captive portal deployment — with separate VLANs, firewall rules, and no routing between guest and corporate segments — satisfies this requirement. This is non-negotiable for retail and hospitality operators. GDPR compliance adds another layer of complexity. Any personal data collected at the portal — name, email, social profile — constitutes processing of personal data under UK GDPR and EU GDPR. You need a lawful basis, typically consent or legitimate interest. You need a compliant privacy notice linked from the portal page. And you need a data retention policy. Platforms like Purple handle much of this compliance infrastructure automatically, but the legal accountability remains with the data controller — that's you, the venue operator. Now let's talk about what happens after authentication. This is where the real value lies, and where most organisations leave significant ROI on the table. Once a guest authenticates, the portal platform can capture dwell time, visit frequency, device type, and — if the underlying infrastructure supports it — location data through WiFi positioning. This transforms the captive portal from a simple access gate into a first-party data engine. Purple's WiFi analytics platform, for example, aggregates this data into dashboards that show footfall patterns, repeat visitor rates, and peak usage periods — intelligence that is directly actionable for operations teams and marketing departments alike. [IMPLEMENTATION RECOMMENDATIONS & PITFALLS — approximately 2 minutes] Let me give you the implementation framework I use with clients. Start with your authentication method selection. Map it to your use case. If you're a hotel, go with PMS integration or voucher codes. If you're a retail chain, email capture with marketing opt-in is your best option. If you're a stadium or transport hub, click-through keeps the queues moving. Second, get your network segmentation right before you touch the portal configuration. Guest VLAN, corporate VLAN, IoT VLAN — these need to be defined at the switching layer, not bolted on afterwards. Firewall rules should deny all lateral traffic between segments by default. Third, plan your DNS and DHCP architecture. In large venues — think conference centres or stadiums — you may have multiple DHCP scopes and DNS servers. The captive portal redirect needs to work consistently across all of them. Test on iOS, Android, Windows, and macOS before go-live, because each platform's CNA behaves slightly differently. Fourth, think about bandwidth management. A captive portal without downstream rate limiting is an open invitation for a single guest to saturate your uplink. Implement per-user bandwidth policies — typically 5 to 20 megabits per second for guest users, depending on your uplink capacity. Now, the pitfalls. The most common failure mode I see is HTTPS interception. Modern browsers enforce HSTS — HTTP Strict Transport Security — which means they will refuse to load a page if the TLS certificate doesn't match the domain. If your portal tries to intercept an HTTPS request to a domain with HSTS, the device will show a certificate error rather than the portal page. The fix is to ensure your portal redirect uses HTTP as the initial probe URL, which is exactly what the CNA mechanism does. Don't try to intercept HTTPS traffic directly. The second pitfall is consent management. I've seen deployments where the opt-in checkbox is pre-ticked, or where the privacy notice link is broken. Both are GDPR violations. Audit your portal page as if you were the ICO. The third pitfall is data silos. If your portal data lives in one system, your CRM in another, and your PMS in a third, you're not getting the full value. Integration via API is where the ROI compounds. [RAPID-FIRE Q&A — approximately 1 minute] Let me run through the questions I get most often. "Do captive portals work on 5G mobile devices?" Yes, but only when the device is connected to your WiFi network. Cellular data bypasses the portal entirely. "Can captive portals be bypassed?" Technically yes — a determined user with a VPN or a static DNS override can sometimes circumvent the redirect. This is why portals are an access control mechanism, not a security boundary. Your firewall is your security boundary. "Is a captive portal the same as a splash page?" Broadly yes — the terms are used interchangeably in the industry, though technically the splash page is the web page the user sees, and the captive portal is the broader network mechanism. "Do I need a dedicated server?" Not necessarily. Cloud-managed captive portal platforms like Purple handle the portal hosting, data storage, and analytics in the cloud. Your on-premises hardware is just the access points and the controller. [SUMMARY & NEXT STEPS — approximately 1 minute] To summarise: a captive portal is a network access control mechanism that intercepts guest traffic and requires authentication before granting internet access. The right authentication method depends on your use case — click-through for accessibility, email capture for marketing, PMS integration for hospitality. Network segmentation and GDPR compliance are non-negotiable. And the real value isn't in the gate — it's in the data and analytics that flow from it. Your next steps: audit your current portal deployment against the segmentation and compliance checklist I've described. If you're starting from scratch, evaluate cloud-managed platforms that handle the portal, analytics, and compliance infrastructure in a single stack. Purple's guest WiFi platform is purpose-built for exactly this use case. Thanks for listening. You'll find the full written guide, architecture diagrams, and worked examples at purple.ai.

header_image.png

Résumé Exécutif

Pour les responsables informatiques, les architectes réseau et les directeurs des opérations de sites, le Captive Portal est un élément fondamental de l'infrastructure réseau invité d'entreprise. À la base, un Captive Portal est un mécanisme de contrôle d'accès réseau qui intercepte le trafic HTTP ou HTTPS d'un appareil invité et le redirige vers une page d'authentification web avant d'accorder l'accès à l'internet plus large. Cependant, le considérer uniquement comme une porte de connexion masque sa valeur stratégique.

Lorsqu'il est correctement mis en œuvre, un Captive Portal transforme un coût opérationnel — la fourniture de WiFi invité — en un moteur de données de première partie qui génère des résultats commerciaux mesurables. Ce guide fournit une référence technique complète sur l'architecture des Captive Portals, les méthodes d'authentification, la segmentation réseau et les exigences de conformité. Il est conçu pour vous aider à dépasser les déploiements basiques et à tirer parti de plateformes comme le Guest WiFi de Purple pour capturer des données d'identité vérifiées, assurer la conformité PCI DSS et GDPR, et offrir une connectivité transparente dans les commerces de détail, l'hôtellerie et les grands lieux publics.

Approfondissement Technique

Architecture Réseau et Interception de Trafic

Un Captive Portal fonctionne principalement aux couches 2 et 3 du modèle OSI. Lorsqu'un appareil invité s'associe à un point d'accès (AP), le contrôleur réseau lui attribue une adresse IP via DHCP. De manière cruciale, cet appareil est placé dans un VLAN (Virtual Local Area Network) restreint qui ne dispose pas de routage par défaut vers la passerelle internet.

Le contrôleur ou un serveur Captive Portal dédié utilise ensuite l'un des deux mécanismes principaux pour imposer l'état captif :

  1. Détournement DNS : Le réseau intercepte toutes les requêtes DNS sortantes de l'appareil invité. Quel que soit le domaine demandé (par exemple, example.com), le serveur DNS résout la requête vers l'adresse IP du serveur Captive Portal.
  2. Redirection HTTP (Proxy Transparent) : Une passerelle en ligne intercepte les requêtes HTTP sortantes aux couches 3 ou 4. La passerelle répond avec une redirection HTTP 302 Found, dirigeant le navigateur de l'appareil vers l'URL du Captive Portal.

Les systèmes d'exploitation modernes (iOS, Android, Windows, macOS) simplifient ce processus en utilisant un mécanisme connu sous le nom de Captive Network Assistant (CNA). Immédiatement après s'être associé à un réseau, le système d'exploitation envoie une requête HTTP GET à un point de terminaison connu (par exemple, captive.apple.com). Si la réponse est autre que la charge utile de succès attendue (en raison des mécanismes de redirection décrits ci-dessus), le système d'exploitation détecte l'état captif et lance automatiquement une fenêtre de navigateur légère et isolée pour afficher la page du portail.

captive_portal_architecture.png

Méthodes d'Authentification et Compromis

Le choix de la méthode d'authentification a un impact direct sur la friction utilisateur et la qualité des données capturées. Les opérateurs de sites doivent équilibrer l'accessibilité avec les objectifs de sécurité et de marketing.

authentication_methods_comparison.png

  • Clic-pour-Accéder : L'utilisateur accepte simplement les Conditions Générales pour obtenir l'accès. Cette méthode offre la friction la plus faible et est idéale pour les environnements à fort débit comme les pôles de Transport . Cependant, elle ne produit aucune donnée d'identité vérifiée.
  • Connexion Sociale : Les utilisateurs s'authentifient via OAuth 2.0 via des fournisseurs d'identité tiers (par exemple, Facebook, Google). Cela fournit des données démographiques riches mais nécessite une gestion rigoureuse du consentement GDPR.
  • Vérification Email / SMS : L'utilisateur fournit une adresse e-mail ou un numéro de téléphone, qui est vérifié via un code à usage unique (OTP) ou un lien magique. C'est l'approche optimale pour les environnements de Commerce de Détail , produisant un enregistrement de contact vérifié de première partie et une voie claire pour les opt-ins marketing.
  • Bon / Intégration PMS : La référence pour l' Hôtellerie . Les clients reçoivent un code d'accès unique lié à leur réservation via le système de gestion immobilière (PMS). Cela offre une sécurité élevée et lie l'utilisation du réseau directement aux profils des clients.

De plus, les plateformes d'entreprise comme Purple peuvent agir comme un fournisseur d'identité gratuit pour des cadres d'authentification transparents tels qu'OpenRoaming, en particulier sous la licence Connect, permettant un onboarding sécurisé et sans friction sans connexions répétitives au portail.

Guide d'Implémentation

Le déploiement d'un Captive Portal robuste nécessite une planification minutieuse à la périphérie et au cœur du réseau. Suivez ces recommandations indépendantes des fournisseurs pour une implémentation sécurisée et évolutive.

1. Segmentation Réseau

La segmentation est la pierre angulaire de la sécurité du réseau invité. Le SSID invité doit être mappé à un VLAN dédié qui est complètement isolé des réseaux d'entreprise, de point de vente (POS) et IoT.

  • Couche de Commutation : Définissez le VLAN invité sur tous les commutateurs d'accès et reliez-le au contrôleur ou à la passerelle.
  • Règles de Pare-feu : Implémentez des listes de contrôle d'accès (ACL) strictes au niveau de la passerelle. La politique par défaut pour le VLAN invité doit être deny all pour l'espace IP privé RFC 1918 (routage intra-VLAN et inter-VLAN), n'autorisant que le trafic sortant vers internet (ports 80 et 443) et les services essentiels (DHCP, DNS).
  • Isolation Client : Activez l'isolation client de couche 2 sur les AP pour empêcher les appareils invités de communiquer directement entre eux, atténuant ainsi le risque de mouvement latéral par des acteurs malveillants.

2. Architecture DNS et DHCP

Dans les grands déploiements, tels que les stades ou les campus d'entreprise, assurez-vous que vos plages DHCP sont dimensionnées de manière appropriée pour la concurrence maximale. Les durées de bail sur les réseaux invités doivent être courtes (par exemple, 30 à 60 minutes) pour éviter les IÉpuisement du pool d'adresses IP.

L'infrastructure DNS doit gérer de manière fiable le mécanisme de détournement. Si vous utilisez un portail géré dans le cloud, assurez-vous que les serveurs DNS locaux transmettent correctement les requêtes non résolues ou utilisez la configuration DNS spécifiée par le fournisseur pour garantir que le CNA se déclenche de manière cohérente sur tous les types d'appareils.

3. Configuration du jardin clos

Un « jardin clos » est une liste d'adresses IP ou de domaines auxquels les appareils invités peuvent accéder avant de s'authentifier. Ceci est essentiel pour la connexion sociale (permettant l'accès aux domaines du fournisseur OAuth) et pour l'affichage de la page du portail elle-même si elle est hébergée en externe. Maintenez un contrôle strict sur le jardin clos pour empêcher les utilisateurs de contourner le portail en tunnelisant le trafic via des domaines autorisés.

4. Gestion de la bande passante

Un accès invité illimité peut rapidement saturer la liaison montante WAN du site, dégradant les performances des opérations commerciales critiques. Mettez en œuvre une limitation de débit par utilisateur et par SSID. Une base typique est de 5 Mbps à 20 Mbps par appareil invité, ce qui est suffisant pour la navigation web et le streaming en définition standard tout en protégeant la santé globale du réseau. Cela s'aligne sur des stratégies d'infrastructure plus larges, similaires à Les avantages clés du SD WAN pour les entreprises modernes , où la mise en forme du trafic garantit que les applications critiques reçoivent la priorité.

Bonnes pratiques

  • Éviter l'interception HTTPS: N'essayez pas d'intercepter le trafic HTTPS directement pour déclencher le portail. Les navigateurs modernes appliquent le HTTP Strict Transport Security (HSTS). Si vous interceptez une requête HTTPS vers un domaine compatible HSTS, le navigateur affichera une erreur de certificat grave, interrompant le processus CNA. Fiez-vous aux sondes HTTP natives du système d'exploitation.
  • Conception réactive: L'interface utilisateur du Captive Portal doit être réactive. Plus de 80 % des connexions WiFi invités se font sur des appareils mobiles. Un portail qui nécessite de pincer et de zoomer augmente les taux d'abandon.
  • Proposition de valeur claire: Si vous exigez une connexion par e-mail ou via les réseaux sociaux, indiquez clairement pourquoi vous collectez les données et ce que l'utilisateur reçoit en retour (par exemple, « Connectez-vous pour un accès haut débit et des offres exclusives en magasin »).

Dépannage et atténuation des risques

Modes de défaillance courants

  1. Le CNA ne se déclenche pas: Cela est généralement dû à une configuration DNS incorrecte, à un jardin clos mal configuré (par exemple, le point de terminaison de la sonde du système d'exploitation est accidentellement mis sur liste blanche) ou à l'AP qui ne parvient pas à intercepter la requête HTTP. Vérifiez que le client reçoit le bon serveur DNS via DHCP et que la passerelle intercepte activement le port 80.
  2. Erreurs de certificat lors de la connexion: Si la page du Captive Portal elle-même est hébergée en HTTPS (ce qui devrait être le cas), assurez-vous que le certificat SSL/TLS est valide, émis par une autorité de certification publique de confiance, et que la chaîne de certificats complète est installée sur le serveur ou le contrôleur du portail.
  3. Épuisement du pool d'adresses IP: Les symptômes incluent des clients se connectant au SSID mais ne parvenant pas à recevoir une adresse IP. Réduisez les durées de bail DHCP ou étendez le masque de sous-réseau (par exemple, de /24 à /22) pour s'adapter à une densité d'appareils plus élevée.

Sécurité et conformité

  • PCI DSS: Pour le commerce de détail et l'hôtellerie, la norme de sécurité des données de l'industrie des cartes de paiement (PCI DSS) exige une séparation stricte entre l'environnement de données des titulaires de carte (CDE) et les réseaux publics. Un VLAN invité correctement segmenté avec isolation par pare-feu est obligatoire.
  • GDPR et confidentialité: La collecte de données personnelles via un Captive Portal relève des réglementations GDPR. Vous devez établir une base légale pour le traitement (généralement le consentement pour le marketing, ou l'intérêt légitime pour la sécurité du réseau). Le portail doit renvoyer à une politique de confidentialité claire, et les cases d'opt-in pré-cochées sont strictement interdites. L'utilisation d'une plateforme comme WiFi Analytics de Purple garantit que ces mécanismes de conformité sont intégrés et auditables.

ROI et impact commercial

La transition d'un Captive Portal basique vers une plateforme d'intelligence transforme le réseau d'un centre de coûts en un générateur de revenus.

  • Acquisition de données de première partie: Dans un monde sans cookies, les e-mails et numéros de téléphone vérifiés collectés via le portail sont des atouts très précieux pour l'enrichissement du CRM et les campagnes de marketing ciblées.
  • Analyse opérationnelle: Au-delà de l'authentification, l'infrastructure capture des données de présence passives. Les opérateurs de sites peuvent analyser les temps de séjour, les schémas de circulation et les taux de visiteurs récurrents. Par exemple, les établissements de santé peuvent optimiser l'orientation et l'allocation des ressources en fonction de la densité de visiteurs en temps réel.
  • Monétisation: Les sites peuvent monétiser le portail directement via des pages d'accueil sponsorisées ou des publicités programmatiques ciblées affichées pendant le processus de connexion.

En intégrant le Captive Portal aux piles informatiques et marketing plus larges, les organisations obtiennent un retour sur investissement mesurable, justifiant les dépenses d'infrastructure par un engagement client amélioré et une efficacité opérationnelle accrue. Pour plus de conseils sur le choix du bon fournisseur, consultez notre guide : Fournisseurs de WiFi pour invités : Ce qu'il faut rechercher lors du choix d'une plateforme WiFi .

Briefing Podcast

Écoutez notre architecte de solutions senior détailler l'architecture technique et la valeur stratégique des Captive Portals dans ce briefing de 10 minutes.

Termes clés et définitions

Captive Portal

A network access control mechanism that intercepts a device's HTTP traffic and redirects it to a web page for authentication before granting internet access.

The fundamental technology used to secure and manage guest WiFi networks in commercial venues.

Captive Network Assistant (CNA)

A native OS feature (on iOS, Android, etc.) that probes for internet connectivity upon joining a network and automatically opens a mini-browser if it detects a captive portal redirect.

Ensures a seamless user experience by presenting the login screen immediately, rather than waiting for the user to open a browser.

Walled Garden

A restricted set of IP addresses or domains that unauthenticated users are permitted to access.

Necessary for allowing devices to reach third-party identity providers (like Facebook or Google) during the social login process.

VLAN (Virtual Local Area Network)

A logical subnetwork that groups a collection of devices on a single physical LAN, isolating their traffic.

Crucial for network segmentation, ensuring guest WiFi traffic is kept completely separate from corporate or POS traffic.

Client Isolation

A wireless network setting that prevents devices connected to the same AP from communicating directly with one another.

A critical security measure on public networks to prevent lateral movement and peer-to-peer attacks between guest devices.

HTTP 302 Redirect

A standard HTTP response status code indicating that the requested resource has been temporarily moved to a different URL.

The primary mechanism used by gateways to redirect a user's initial web request to the captive portal login page.

MAC Authentication Bypass (MAB)

A method of granting network access based on the device's MAC address, often used to re-authenticate returning visitors automatically.

Improves the user experience by allowing seamless reconnection for guests who have previously authenticated, within a defined retention period.

HSTS (HTTP Strict Transport Security)

A web security policy mechanism that helps protect websites against protocol downgrade attacks and cookie hijacking.

The reason why captive portals cannot intercept HTTPS traffic; doing so violates HSTS and results in browser security warnings.

Études de cas

A 200-room hotel needs to implement guest WiFi that ensures only paying guests have access, prevents bandwidth hogging, and complies with PCI DSS regarding the adjacent point-of-sale systems in the restaurant.

  1. Deploy a captive portal with PMS (Property Management System) integration. Guests authenticate using their room number and surname. 2. Configure a dedicated Guest VLAN (e.g., VLAN 50) across all APs and switches. 3. Implement firewall rules denying all traffic from VLAN 50 to the Corporate/POS VLAN (e.g., VLAN 10). 4. Apply a bandwidth policy limiting each authenticated device to 10 Mbps downstream/2 Mbps upstream. 5. Enable Layer 2 client isolation on the APs.
Notes de mise en œuvre : This approach uses PMS integration to guarantee only verified guests consume network resources. The strict VLAN segmentation and firewall rules satisfy PCI DSS requirements by isolating the guest network from the cardholder data environment. Bandwidth limiting ensures fair use and protects the WAN uplink.

A national retail chain wants to offer free WiFi to shoppers to build their CRM database, but they are concerned about GDPR compliance and high abandonment rates at the login screen.

  1. Implement an Email/SMS verification captive portal. 2. Ensure the UI is mobile-responsive and loads in under 2 seconds. 3. Include a clear, unticked checkbox for marketing consent, separate from the Terms of Use acceptance. 4. Provide a clear value exchange on the splash page (e.g., 'Sign in for 10% off your purchase today'). 5. Integrate the portal platform via API directly into the corporate CRM.
Notes de mise en œuvre : Email/SMS verification balances friction with data quality. The unticked checkbox and clear privacy policy link ensure GDPR compliance. The value exchange reduces abandonment, and direct API integration prevents data silos, maximizing the ROI of the collected first-party data.

Analyse de scénario

Q1. A hospital IT director wants to implement a captive portal for patients and visitors. They require users to accept an acceptable use policy but do not want to manage passwords or collect personal data to avoid HIPAA/GDPR complications. Which authentication method should they deploy?

💡 Astuce :Consider the method that offers the lowest friction and captures zero identity data.

Afficher l'approche recommandée

Click-Through authentication. This method allows users to simply accept the Terms and Conditions to gain access. It satisfies the requirement for an acceptable use policy acknowledgment without collecting any personally identifiable information (PII), thereby minimizing compliance risks.

Q2. During a captive portal deployment at a stadium, users report that their phones show a 'Connection is not private' or certificate error instead of the login page when they try to browse to 'https://google.com'. What is the architectural cause of this issue?

💡 Astuce :Think about how modern browsers handle secure connections and what happens when a gateway tries to intercept them.

Afficher l'approche recommandée

The gateway is attempting to intercept HTTPS traffic. Because 'google.com' utilizes HSTS (HTTP Strict Transport Security), the browser expects a specific SSL certificate. When the gateway intercepts the request and serves the portal's certificate instead, the browser detects a mismatch and blocks the connection to prevent a man-in-the-middle attack. The solution is to rely on the OS's native CNA HTTP probes rather than intercepting user-initiated HTTPS requests.

Q3. A retail chain has deployed a captive portal that collects email addresses for marketing. However, the marketing team reports that 40% of the emails collected are fake (e.g., 'test@test.com'). How can the network architect adjust the portal configuration to improve data quality?

💡 Astuce :How can the system prove the user actually owns the contact detail they provided before granting access?

Afficher l'approche recommandée

Implement Email Verification via a One-Time Passcode (OTP) or magic link. The portal should place the user in a 'walled garden' state with limited access (e.g., only allowing access to their email provider) until they click the verification link or enter the OTP sent to the provided email address. Only after verification is full internet access granted.

À propos de nous
Carrières
Rapport B Corp
Forfaits
Fonctionnalités WiFi invité
Tarification WiFi invité
Services professionnels
Réserver une démo
Politiques
Mentions légales
Politique de confidentialité
Conditions d'utilisation
Mes données
Politique en matière de cookies
SLA standard
Support et conseils
Calculateur de ROI
Calculateur de prix
Support Purple
Whatsapp
© 2026 Purple. Tous droits réservés.
Gérer les préférences de cookies