WEB服务器安全-防止SSL证书泄露源站IP

发布于 16 天前  26 次阅读


原本没注意到这块内容,看的论坛上一篇文章写到,有网站大量扫描IP的443 端口读区ssl证书信息

Censys这个网站,我查了一下居然扫描到了我原站的IP

https://censys.io/ipv4

设置CDN就是为了加速我海外主机的访问速度,还有就是防止 原本性能非常弱小的主机被DDos 这样的攻击,被扫描到了之后就直接可以对原站主机进行攻击了,CDN也就只是摆设了

最简单的办法就是添加一个默认站点,给默认站点设置一张 自签名的 ssl 证书,证书里面的主机名称可以随意写,比如我就写了 localhost 这样的,尽量少的暴露一些信息

推荐一个生产自签名证书的网站,方便:

MySSL:https://myssl.com/create_test_cert.html

然后就把生成的证书配置到刚刚新建的站点上去,并且添加default_server 字段设置成默认站点

listen 80 default_server;
listen [::]:80 default_server;
listen 443 ssl http2 default_server;
listen [::]:443 ssl http2 default_server;
server_name localhost;
ssl_certificate    /xxx/ssl.crt;  #这里填写你的证书绝对路径
ssl_certificate_key    /xxx/ssl.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
index index.html;
root /wwwroot/default.com;
return 444;

nginx -s reload 后去看看效果把


因为喜欢所以折腾。。。