实测，源站跟反代相同证书会被扫到

三季稻

源站没做任何解析，换了一个新ip  证书还是旧的 跟反代的一样。  前提换的ip 昨天用hcensys.io 看了眼。新ip已经出来了。


我把源站的ssl关了再试试

G.K.D

三季稻 发表于 2021-8-14 09:39
部署空证书是解析过去部署完再解析回来 还是说用dns部署？

给你的 IP 建立一个虚拟主机并自签一个证书就行了。
这样直接访问 https://ip 就不会暴露其他虚拟主机的证书了。

另外，如果你的 Nginx 版本号 >= 1.19.4，那么 Nginx 支持一个新功能，那就是使用/通过你没有指定的 server_name（遍历 Nginx 中的所有虚拟主机）来访问服务器会直接拒绝握手（对于 default_server 可以开启 443 端口且不需要指定证书）。
https://nginx.org/en/docs/http/n ... sl_reject_handshake

MoeWang

论源站不部署一张默认空证书的影响

lovedva

部署一张空证书就行了

s920361

用argo tunnel，或者白名單cdn其餘block

三季稻

lovedva 发表于 2021-8-14 09:37
部署一张空证书就行了

部署空证书是解析过去部署完再解析回来 还是说用dns部署？

原理

全网IP扫描  

ip 默认站点

ip 默认站点的证书  可以看到域名

一些集成的 Nginx 的 bug 默认站点无证书 会调用有证书的站点证书

So 默认站点 部署 一个自签/空 证书

茎肛互撸娃

MoeWang 发表于 2021-8-14 09:33
论源站不部署一张默认空证书的影响

部署了用cdn后，只能加https://协议头才能访问

lovedva

三季稻 发表于 2021-8-14 09:39
部署空证书是解析过去部署完再解析回来 还是说用dns部署？

源站换个新ip，部署空证书，然后再把反代的upstream改过去

MoeWang

茎肛互撸娃 发表于 2021-8-14 10:16
部署了用cdn后，只能加https://协议头才能访问

人家就是抓住你这个心理，然后直接https访问你的IP，这时候因为你没部署一张空证书，只有那个站点，因此服务器默认返回的证书就是你那个域名的证书，人家通过这张证书包含的域名就轻松知道源站了