日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關咨詢
選擇下列產品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關閉右側工具欄

新聞中心

這里有您想知道的互聯網營銷解決方案
別讓SSL證書暴露了你的網站服務器IP

我們通常會用cdn套到服務器ip上,來為網站或者后端程序做加速、防御??墒莕ginx在設計上有個小缺陷,會因為ssl證書泄露網站的原IP

建網站原本是網站策劃師、網絡程序員、網頁設計師等,應用各種網絡程序開發(fā)技術和網頁設計技術配合操作的協同工作。創(chuàng)新互聯專業(yè)提供成都網站建設、成都網站設計,網頁設計,網站制作(企業(yè)站、響應式網站開發(fā)、電商門戶網站)等服務,從網站深度策劃、搜索引擎友好度優(yōu)化到用戶體驗的提升,我們力求做到極致!

原 理

用Nginx部署網站,在默認或不正確的配置下,網站開啟ssl,直接訪問ip的443端口,即ip:443,Nginx會返回默認一個站點的ssl證書,間接的能讓別人掃到這個ip對應的域名。

原理就是對ip的443端口發(fā)送clienthello,對方回復的 serverhello中有ssl證書,ssl證書里的common name 有域名信息。這樣就知道了解析這個ip的域名。所以更準確的說是IP的443端口可能會暴露了域名。

動作再大一點,批量掃描機房的ip段,把對應的域名-ip 的多值映射表統計起來。以后想查某個域名對應的源站 ip 查這個表就夠了,這是黑產喜歡干的事。

同時也是很多站點,明明套上了cdn,依然能被打到源站IP的原因。

解決辦法

 
 
 
    
  
  
  
  1. # 禁止IP直接訪問網站 
    2.   
  
  
  2. server { 
    3.   
  
  
  3.       listen       80 default_server; 
    4.   
  
  
  4.       listen       [::]:80 default_server; 
    5.   
  
  
  5.       server_name  _; 
    6.   
  
  
  6.       return 444; 
    7.   
  
  
    8.

自簽IP的SSL證書,返回444

自簽證書的目的不是為了訪問,而是避開Nginx的這個缺陷。生成自簽的IP SSL證書可以用開源的Mkcert(https://myssl.com/create_test_cert.html)工具。Mkcert使用起來稍微麻煩,或者用一個測試證書的在線網頁工具:https://myssl.com/create_test_cert.html

在填寫域名的位置填上IP地址,點生成按鈕會自動測試證書展示在下面,各自保存為.pem文件和.key文件。然后在nginx里配置上“return 444”,類似配置大概:

 
 
 
    
  
  
  
    2.   
  
  
  2. listen 80 ; 
    3.   
  
  
  3. listen 443 ssl http2 default_server; 
    4.   
  
  
  4. server_name ip; 
    5.   
  
  
  5.  
    6.   
  
  
  6.   #HTTP_TO_HTTPS_END 
    7.   
  
  
  7.     ssl_certificate    xxxx.pem; 
    8.   
  
  
  8.     ssl_certificate_key   xxxx.pem; 
    9.   
  
  
  9.     ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; 
    10.   
  
  
  10.  
    11.   
  
  
  11. return 444; 
    12.   
  
  
  12.  
    13.   
  
  
    14.

購買合法IP站點的SSL證書

花點小錢買個合法的IP SSL證書配置到nginx里,IP證書一般一二百左右。加錢,世界觸手可及。

僅允許指定cdn的IP訪問

Nginx僅允許指定cdn的IP訪問,避免放到公網上被任何人掃。以騰訊云CDN段為例,在Nginx網站配置文件里,添加如下:

 
 
 
    
  
  
  
  1. location / { 
    2.   
  
  
  2. allow   58.250.143.0/24; 
    3.   
  
  
  3. allow   58.251.121.0/24; 
    4.   
  
  
  4. allow   59.36.120.0/24; 
    5.   
  
  
  5. allow   61.151.163.0/24; 
    6.   
  
  
  6. allow   101.227.163.0/24; 
    7.   
  
  
  7. allow   111.161.109.0/24; 
    8.   
  
  
  8. allow   116.128.128.0/24; 
    9.   
  
  
  9. allow   123.151.76.0/24; 
    10.   
  
  
  10. allow   125.39.46.0/24; 
    11.   
  
  
  11. allow   140.207.120.0/24; 
    12.   
  
  
  12. allow   180.163.22.0/24; 
    13.   
  
  
  13. allow   183.3.254.0/24; 
    14.   
  
  
  14. allow   223.166.151.0/24; 
    15.   
  
  
  15.   deny    all; 
    16.   
  
  
    17.

查一下使用的CDN商家的文檔,如果有新的IP段更新,也加到里面。

本文轉載自微信公眾號「Linux就該這么學」,作者倪家興。轉載本文請聯系Linux就該這么學公眾號。


名稱欄目:別讓SSL證書暴露了你的網站服務器IP
網站網址:http://m.5511xx.com/article/ccepici.html