防止SSL证书泄露源站IP的小方法

建站最怕的是什么?源站IP泄露导致对手恶意DD/CC,SSL证书作为一个有效保护数据传输的媒介,也可能在不经意间因为不正确操作导致源站IP被泄露,如何防止此类发生,就是今天我们要谈的内容!


网上有很多防止SSL证书泄露的方法,经整合无非就是三种常用的:

1、IP证书

2、IP6监听

3、CDN白名单

4、自签证书

5、空白证书

这里面,最简单好用的就是空白证书,因此,今天就给大家说说空白证书设置

需要IP证书的可以去ZeroSSL申请:https://zerossl.com/

IP6监听,需要你的源站支持IP6或者通过https://www.he.net/打通隧道代理实现

CDN白名单只有在白名单内的IP才能访问源站,这样做其实限制也挺大的

空白证书

此教程通过宝塔部署,其他的面板程序也类似

 

在使用nginx作为web服务器的时候,对于未绑定的域名可能会解析到其他站点,容易被恶意解析。在443端口上,这种情况可能更加严重,在直接访问443端口时,nginx会使用第一个配置了SSL的站点的证书来建立连接,导致源站暴露,我们可以通过配置一个空白证书到默认站点来解决问题。

 

1、新建站点,域名随便填,只要不填自己的就行

222 - 防止SSL证书泄露源站IP的小方法

2、添加空白证书

223 - 防止SSL证书泄露源站IP的小方法

-----BEGIN CERTIFICATE-----
MIIBkjCB/AIJAI3bCYqa39hiMA0GCSqGSIb3DQEBBQUAMA0xCzAJBgNVBAYTAiAg
MCAXDTE4MTEyNDA5MDMzOFoYDzIwOTkxMjMxMDkwMzM4WjANMQswCQYDVQQGEwIg
IDCBnzANBgkqhkiG9w0BAQEFAAOBjQAwgYkCgYEA18hepvNcznqDj735Opxircn3
M0Ruv8nkpHHPuurxr6tLPKAe1XAsy5dWHDbK7t4sXpT0ds9c74yqmvfwKofPk7z9
ZBhmyw/5sp454/JftL1c2fr58wB9ETfX6as5aR5hQR0M0NuQLSAB/KVzi9eeNWDd
EzT0QN5B1Ai9BR/ApMMCAwEAATANBgkqhkiG9w0BAQUFAAOBgQBiqHZsuVP09ubT
GzBSlAFEoqbM63sU51nwQpzkVObgGm9v9nnxS8Atid4be0THsz8nVjWcDym3Tydp
lznrhoSrHyqAAlK3/WSMwyuPnDCNM5g1RdsV40TjZXk9/md8xWxGJ6n1MoBdlK8T
H6h2ROkf59bb096TttB8lxXiT0uiDQ==
-----END CERTIFICATE-----
-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY----------

3、配置nginx,添加

return 444;

 

224 - 防止SSL证书泄露源站IP的小方法

4、设置默认站点

225 - 防止SSL证书泄露源站IP的小方法

 

设置完毕后重启nginx服务器,这样所有未绑定的域名和IP都被定向到默认站点(返回 HTTP 444),避免了潜在的安全风险

 

PS:

为什么不直接在网站使用空白证书呢?

如果你套CF,那可以直接只用空白证书,但其他的一些CDN,如百度,你如果使用空白证书,是无法上传证书的,因为需要域名信息,或者你可以试试自签证书https://blog.bcqfl.com/post/28.html