別讓SSL證書暴露了你的網站伺服器IP
我們通常會用cdn套到伺服器ip上,來為網站或者後端程式做加速、防禦。可是nginx在設計上有個小缺陷,會因為ssl證照洩露網站的原IP |
用Nginx部署網站,在預設或不正確的配置下,網站開啟ssl,直接訪問ip的443埠,即ip:443,Nginx會返回預設一個站點的ssl證照,間接的能讓別人掃到這個ip對應的域名。
原理就是對ip的443埠傳送clienthello,對方回覆的 serverhello中有ssl證照,ssl證照裡的common name 有域名資訊。這樣就知道了解析這個ip的域名。所以更準確的說是IP的443埠可能會暴露了域名。
動作再大一點,批次掃描機房的ip段,把對應的域名-ip 的多值對映表統計起來。以後想查某個域名對應的源站 ip 查這個表就夠了,這是黑產喜歡乾的事。
同時也是很多站點,明明套上了cdn,依然能被打到源站IP的原因。
# 禁止IP直接訪問網站 server { listen 80 default_server; listen [::]:80 default_server; server_name _; return 444; }
自簽證照的目的不是為了訪問,而是避開Nginx的這個缺陷。生成自籤的IP SSL證照可以用開源的Mkcert()工具。Mkcert使用起來稍微麻煩,或者用一個測試證照的線上網頁工具:
在填寫域名的位置填上IP地址,點生成按鈕會自動測試證照展示在下面,各自儲存為.pem檔案和.key檔案。然後在nginx裡配置上“return 444”,類似配置大概:
{ listen 80 ; listen 443 ssl http2 default_server; server_name ip; #HTTP_TO_HTTPS_END ssl_certificate xxxx.pem; ssl_certificate_key xxxx.pem; ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; return 444; }
花點小錢買個合法的IP SSL證照配置到nginx裡,IP證照一般一二百左右。
加錢,世界觸手可及。
Nginx僅允許指定cdn的IP訪問,避免放到公網上被任何人掃。以騰訊雲CDN段為例,在Nginx網站配置檔案裡,新增如下:
location / { allow 58.250.143.0/24; allow 58.251.121.0/24; allow 59.36.120.0/24; allow 61.151.163.0/24; allow 101.227.163.0/24; allow 111.161.109.0/24; allow 116.128.128.0/24; allow 123.151.76.0/24; allow 125.39.46.0/24; allow 140.207.120.0/24; allow 180.163.22.0/24; allow 183.3.254.0/24; allow 223.166.151.0/24; deny all; }
查一下使用的CDN商家的文件,如果有新的IP段更新,也加到裡面。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31524109/viewspace-2778427/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 我的網站需要SSL證書嗎?網站
- IP SSL證書是什麼意思 如何申請IP SSL證書
- 什麼型別的SSL證書有利於網站安全?型別網站
- 使用免費SSL證書讓網站支援HTTPS訪問網站HTTP
- OV SSL證書有哪些功能?網站安裝OV SSL證書的好處網站
- 我的網站需要什麼SSL證書?網站
- 網站有沒有安裝SSL證書差別在哪網站
- 什麼是SSL證書?網站為什麼要安裝SSL證書?網站
- 國密SSL證書保障網站安全網站
- 網站安裝SSL證書就安全了嗎?不,SSL證書會過期!網站
- ip ssl證書基本介紹
- 付費SSL證書和免費SSL證書的區別
- 免費SSL證書和付費SSL證書的區別
- 網站部署SSL證書是否會影響網站流量?網站
- 內網IP地址可以申請SSL證書嗎?內網
- 網站遷移SSL證書該如何操作網站
- 越來越多網站安裝SSL證書的原因網站
- 如何為自己的個人網站選擇SSL證書?網站
- 為IP地址簽發SSL證書
- 怎樣更安全給網站部署SSL證書?網站
- 怎麼給網站配置SSL證書(https)網站HTTP
- 如何配置內網IP SSL證書?附客戶端匯入IP根證書兩種方案內網客戶端
- 伺服器新增站點並安裝 SSL 安全證書伺服器
- 中科三方:網站為什麼要安裝SSL證書?SSL證書有哪些作用?網站
- SSL證書中的安全站點證書對金融銀行網站的好處網站
- 如何快速為網站選擇合適的SSL證書網站
- 您真的瞭解網站必備的SSL證書嗎?網站
- 自簽名的SSL證書與專業的SSL證書有哪些區別?
- 網站為什麼需要SSL證書?這些優勢你應該知道!網站
- 為什麼網站安裝SSL證書如此重要?網站
- 網站配置SSL證書有很什麼好處?網站
- 如果網站ssl證書過期怎麼解決網站
- 每個網站是否都需要申請SSL證書網站
- 簡述SSl證書型別型別
- SSL證書產品簡介——SSL證書作用、型別,證書選擇與購買型別
- 什麼是國產SSL證書?國產SSL證書和普通證書有什麼區別?
- 哪些IP SSL證書支援IP地址https加密呢?HTTP加密
- 金融行業網站安裝SSL證書的作用和好處行業網站