【隐藏源站】别让SSL证书泄露了你的源站IP

概述

在运行自己的网站时,为了加速自己的Web站点,有时候我们会启用CDN服务来加速自己站点,并且隐藏自己的源站,但是实际上你的源站真的被隐藏了吗?使用Censys:https://search.censys.io/search 搜索一下自己的网站,看看自己的网站的源站有没有泄露呢?

泄露的原因是因为在直接访问源站IP的443端口时,nginx会使用第一个配置了SSL的站点的证书来建立连接,而这个默认证书携带了默认信息导致源站暴露,对此我们可以通过配置一个空白证书到默认站点来解决问题

教程

本教程以宝塔面板为例,其余面板配置大同小异!

一、准备空白IP证书

证书Key

-----BEGIN RSA PRIVATE KEY-----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-----END RSA PRIVATE KEY-----

证书PEM

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

二、新建默认站点

  • 新建一个默认站点,不要用自己域名,随便填一个即可,例如: hidden.com
  • 将该站点设置为默认站点,并且删掉目录下所有文件
  • 在宝塔面板中,对这个hidden.com这个无效站点进行证书配置,将第一步的证书配置到这个站点
图片[1] - 【隐藏源站】别让SSL证书泄露了你的源站IP - 极核GetShell
图片[2] - 【隐藏源站】别让SSL证书泄露了你的源站IP - 极核GetShell

三、修改站点Nginx配置

  • 将第二步配置的无效站点:hidden.com 的设置打开,然后点击配置文件(Nginx配置)
  • 在配置文件代码中的前几行任意位置,加入代码:return 444; 然后保存!
图片[3] - 【隐藏源站】别让SSL证书泄露了你的源站IP - 极核GetShell

四、验证成果

浏览器访问:https://你的VPS的IP ,例如:https://193.167.22.123 ,如果返回类似于如图状态,说明就成功了!

图片[4] - 【隐藏源站】别让SSL证书泄露了你的源站IP - 极核GetShell

五、后话

该教程适合你的业务刚开始发布的时候,就套用CDN并且隐藏源站IP。如果你的业务直接解析到你的源站并且已经发布一段时间了,那么这个教程可能也保护不了你的源站,因为互联网的测绘引擎已经进行收录了。

所以还是建议在业务刚发布的时候,就使用本教程隐藏源站IP并且开启CDN!

THE END
想说的话 1  QQ & 微信交流群: 点击查看加群方式
2  本站运营不易,以真心❤️换真心💕,如果帮助到你,可以 推荐给朋友 或者 开通金贝会员 支持一下本站!
3  请不要进行任何非授权的网络攻击,如果造成任何损失均由使用者本人负责,与本站和原作者无关!
点赞84 分享
茶谈区 抢沙发

请登录后发表评论

    暂无评论内容