日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
別讓SSL證書暴露了你的網(wǎng)站服務器IP

我們通常會用cdn套到服務器ip上,來為網(wǎng)站或者后端程序做加速、防御??墒莕ginx在設計上有個小缺陷,會因為ssl證書泄露網(wǎng)站的原IP

建網(wǎng)站原本是網(wǎng)站策劃師、網(wǎng)絡程序員、網(wǎng)頁設計師等,應用各種網(wǎng)絡程序開發(fā)技術(shù)和網(wǎng)頁設計技術(shù)配合操作的協(xié)同工作。創(chuàng)新互聯(lián)專業(yè)提供成都網(wǎng)站建設、成都網(wǎng)站設計,網(wǎng)頁設計,網(wǎng)站制作(企業(yè)站、響應式網(wǎng)站開發(fā)、電商門戶網(wǎng)站)等服務,從網(wǎng)站深度策劃、搜索引擎友好度優(yōu)化到用戶體驗的提升,我們力求做到極致!

原 理

用Nginx部署網(wǎng)站,在默認或不正確的配置下,網(wǎng)站開啟ssl,直接訪問ip的443端口,即ip:443,Nginx會返回默認一個站點的ssl證書,間接的能讓別人掃到這個ip對應的域名。

原理就是對ip的443端口發(fā)送clienthello,對方回復的 serverhello中有ssl證書,ssl證書里的common name 有域名信息。這樣就知道了解析這個ip的域名。所以更準確的說是IP的443端口可能會暴露了域名。

動作再大一點,批量掃描機房的ip段,把對應的域名-ip 的多值映射表統(tǒng)計起來。以后想查某個域名對應的源站 ip 查這個表就夠了,這是黑產(chǎn)喜歡干的事。

同時也是很多站點,明明套上了cdn,依然能被打到源站IP的原因。

解決辦法

 
 
 
    
  
  
  
  1. # 禁止IP直接訪問網(wǎng)站 
    2.   
  
  
  2. server { 
    3.   
  
  
  3.       listen       80 default_server; 
    4.   
  
  
  4.       listen       [::]:80 default_server; 
    5.   
  
  
  5.       server_name  _; 
    6.   
  
  
  6.       return 444; 
    7.   
  
  
    8.

自簽IP的SSL證書,返回444

自簽證書的目的不是為了訪問,而是避開Nginx的這個缺陷。生成自簽的IP SSL證書可以用開源的Mkcert(https://myssl.com/create_test_cert.html)工具。Mkcert使用起來稍微麻煩,或者用一個測試證書的在線網(wǎng)頁工具:https://myssl.com/create_test_cert.html

在填寫域名的位置填上IP地址,點生成按鈕會自動測試證書展示在下面,各自保存為.pem文件和.key文件。然后在nginx里配置上“return 444”,類似配置大概:

 
 
 
    
  
  
  
    2.   
  
  
  2. listen 80 ; 
    3.   
  
  
  3. listen 443 ssl http2 default_server; 
    4.   
  
  
  4. server_name ip; 
    5.   
  
  
  5.  
    6.   
  
  
  6.   #HTTP_TO_HTTPS_END 
    7.   
  
  
  7.     ssl_certificate    xxxx.pem; 
    8.   
  
  
  8.     ssl_certificate_key   xxxx.pem; 
    9.   
  
  
  9.     ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3; 
    10.   
  
  
  10.  
    11.   
  
  
  11. return 444; 
    12.   
  
  
  12.  
    13.   
  
  
    14.

購買合法IP站點的SSL證書

花點小錢買個合法的IP SSL證書配置到nginx里,IP證書一般一二百左右。加錢,世界觸手可及。

僅允許指定cdn的IP訪問

Nginx僅允許指定cdn的IP訪問,避免放到公網(wǎng)上被任何人掃。以騰訊云CDN段為例,在Nginx網(wǎng)站配置文件里,添加如下:

 
 
 
    
  
  
  
  1. location / { 
    2.   
  
  
  2. allow   58.250.143.0/24; 
    3.   
  
  
  3. allow   58.251.121.0/24; 
    4.   
  
  
  4. allow   59.36.120.0/24; 
    5.   
  
  
  5. allow   61.151.163.0/24; 
    6.   
  
  
  6. allow   101.227.163.0/24; 
    7.   
  
  
  7. allow   111.161.109.0/24; 
    8.   
  
  
  8. allow   116.128.128.0/24; 
    9.   
  
  
  9. allow   123.151.76.0/24; 
    10.   
  
  
  10. allow   125.39.46.0/24; 
    11.   
  
  
  11. allow   140.207.120.0/24; 
    12.   
  
  
  12. allow   180.163.22.0/24; 
    13.   
  
  
  13. allow   183.3.254.0/24; 
    14.   
  
  
  14. allow   223.166.151.0/24; 
    15.   
  
  
  15.   deny    all; 
    16.   
  
  
    17.

查一下使用的CDN商家的文檔,如果有新的IP段更新,也加到里面。

本文轉(zhuǎn)載自微信公眾號「Linux就該這么學」,作者倪家興。轉(zhuǎn)載本文請聯(lián)系Linux就該這么學公眾號。


分享名稱:別讓SSL證書暴露了你的網(wǎng)站服務器IP
分享網(wǎng)址:http://www.5511xx.com/article/ccepici.html