443端口SSL证书泄露
在使用nginx作为web服务器的时候,对于未绑定的域名可能会解析到其他站点,容易被恶意解析。在443端口上,这种情况可能更加严重,在直接访问443端口时,nginx会使用第一个配置了SSL的站点的证书来建立连接,导致源站暴露,我们可以通过配置一个空白证书到默认站点来解决问题。
1.先在任意目录下建立ssl.crt和ssl.key两个文件,内容如下(这是一份长期有效的空白证书)
ssl.crt:
-----BEGIN CERTIFICATE----- MIIBkjCB/AIJAI3bCYqa39hiMA0GCSqGSIb3DQEBBQUAMA0xCzAJBgNVBAYTAiAg MCAXDTE4MTEyNDA5MDMzOFoYDzIwOTkxMjMxMDkwMzM4WjANMQswCQYDVQQGEwIg IDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA18hepvNcznqDj735Opxircn3 M0Ruv8nkpHHPuurxr6tLPKAe1XAsy5dWHDbK7t4sXpT0ds9c74yqmvfwKofPk7z9 ZBhmyw/5sp454/JftL1c2fr58wB9ETfX6as5aR5hQR0M0NuQLSAB/KVzi9eeNWDd EzT0QN5B1Ai9BR/ApMMCAwEAATANBgkqhkiG9w0BAQUFAAOBgQBiqHZsuVP09ubT GzBSlAFEoqbM63sU51nwQpzkVObgGm9v9nnxS8Atid4be0THsz8nVjWcDym3Tydp lznrhoSrHyqAAlK3/WSMwyuPnDCNM5g1RdsV40TjZXk9/md8xWxGJ6n1MoBdlK8T H6h2ROkf59bb096TttB8lxXiT0uiDQ== -----END CERTIFICATE-----
ssl.key:
-----BEGIN RSA PRIVATE KEY----- MIICXQIBAAKBgQDXyF6m81zOeoOPvfk6nGKtyfczRG6/yeSkcc+66vGvq0s8oB7V cCzLl1YcNsru3ixelPR2z1zvjKqa9/Aqh8+TvP1kGGbLD/mynjnj8l+0vVzZ+vnz AH0RN9fpqzlpHmFBHQzQ25AtIAH8pXOL1541YN0TNPRA3kHUCL0FH8CkwwIDAQAB AoGAQ4ejh6AV5VCWJ8AOZXdXsofIYzUBa+glNAmiNx8b8BwteZWq0KVAf56nBkFn lQXW4OrA7wXKUfW11rXNZaIHJePJXv1swkN9+Em18Hon6BrtcqnKAwzAbhok3SzY IVjI/zrgOABH6+ii77xCRBzI1itVPNN88DAUHC7PYLYiaaECQQD7PSoij37+kMc/ wPeEkl9r3vzU0OrsCsjU8Ev714OaoL/SIuAh6nsiRh9rcbUrrpGSSzIcmsk9HMDa hXBNkNl5AkEA298yQvssaUc4tbEWxAVfd9DsHJdCdbXfgf9Dy5/tpCzYncY7T0du VVHqKu3jXWoMc5XlesiCOerU/DIlMM8dGwJBANQn7GLO5iC1xWvS2bF7oVSIMtzL pvW4jaszWBbNAPccc59RkA9T4LMqn/GtTZ4bhhYRpbl+BB21IC3nrNPzU5ECQG8T Ln0QDruQs2F2eR3F6RjKfr1i3LxCiQtPPZycypzp2vS5tDS0zVRk8XuGehoy/N9X lnqU2NURgU92tbsWpokCQQDdc9tU3B/OM/YfzUNwvOLmUVwrJX6PFSFsOn+XHrCC q9LcGEAHyzaf5GEWje84ee4rkv5oaZcwll3dg4IioBnC -----END RSA PRIVATE KEY-----
2.然后我们在nginx默认配置文件(此处以宝塔 /www/server/panel/vhost/nginx/xxxxxxx.conf 为例,不同环境可能位置不同)中添加如下内容:
server
{
listen 443 ssl;
server_name _;
ssl_certificate /xxx/ssl.crt; #这里填写你的证书绝对路径
ssl_certificate_key /xxx/ssl.key;
ssl_protocols TLSv1 TLSv1.1 TLSv1.2;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
index index.html;
root /www/server/nginx/html; #这里填写web默认目录
return 444;
}3.最后再重启nginx服务器,就大功告成了,这样服务器在被未绑定域名访问时就会直接断开连接(返回 HTTP 444),避免了潜在的安全风险。
相关推荐
--前言-- 之前华为云有一个沃土云创计划加入有个400元的云服务代金券,现在华为云又推出一个云学堂人工智能开发者认证训练营,报名学习之后可以领取一台开发桌面(云主机)以...
我个人认为这是一个新发生的问题,大家基本都是2024/5/23现在搜进来的吧首先这种情况前几年也出现过,博主当时是采用清理内存的方式解决的,但很明显此方法欠缺,今日又让我给遇到了,并且在各大网站平台浅...
PHP禁止指定IP访问或调用代码,把要拉黑的IP保存到ip.txt一行一个,被拉黑的IP无法访问或调用,或做跳转或拒绝访问都可以自行扩展。需要注意:请手动创建一个ip.txt,否则报错。代码如下:&l...
如果服务器使用了Nginx+CDN该如何获取访问用户的真实IP呢?默认情况下我们Nginx获取到总是CDN节点的IP代理,接下来介绍如何使用两行代码搞定无法获取真实IP难题!...
一直以来使用的都是爱奇艺的万能联播播放器,简洁的界面、多格式的支持使用很方便,近期发现爱奇艺万能联播播放器无法打开了,找了下资料发现了问题,原来官方已经停止更新,但程序启动还会去启动更新程序,然后就卡...
最近项目遇到很多使用jsjiami.com.v7的程序,使用AST方式(依赖Babel插件)实现的JS代码净化工具,包括常见的几种类型:字面量还原(全局、代码块),死代码清理、扁平化还原,条件、循环语...
Nginx 配置 HTTPS 强制跳转到 HTTP 介绍Nginx 配置 HTTPS 强制跳转到 HTTP,主要内容包括其使用实例、应用技巧、基本知识点总结和需要注意事项,具有一定的参考价值...
评论列表 (0条)
免责声明:我们提供第三方网站链接,但不对其进行维护和负任何责任(包括法律责任);时刻擦亮眼睛-自行辨别真假-谨防上当受骗!
联系mail:lliimail@qq.com
湘ICP备2021019998号
提供加速服务
![[红包活动] 2024年淘宝双11红包来袭!每天免费抽随机红包!](https://0735dj.com/zb_users/upload/2024/11/20241103232544_37942.jpg "[红包活动] 2024年淘宝双11红包来袭!每天免费抽随机红包!")