讲解危害

防止SSL证书泄露你的源站IP，主要内容包括一、生成IP证书、二、配置默认证书、三、效果检查、四、结语、基本概念、基础应用、原理机制和需要注意的事项等，并结合实例形式分析了其使用技巧，希望通过本文能帮助到大家理解应用这部分内容。

有的时候，我们套CDN是为了保护相对较为脆弱的源站，在CDN上平台上实现对DDoS、CC之类攻击的防护；所以相应的，我们也不希望它被泄露出去，一旦攻击者绕过CDN直接攻击源站，我们在CDN上构建的防御措施便成了摆设，直接快进到“后院起火”。

如果你有心的话，可能会听说过Censys这个网站，查一下自己套了CDN的站点是不是被他扫到了？

不知道你们的结果如何，我身边的朋友是有几个中招的了……

想要不被他看穿也很简单，总而言之就一句话：减少默认证书携带的信息。

• Censys地址 https://censys.io/ipv4

解决方法

• 用宝塔面板的看方法2简单
• 1 手动

一、生成IP证书

通过证书特征去匹配服务器，首要的就是其中包含的域名，其次是签发的CA以及详细的证书信息。之前有人提到过自己OpenSSL签发自签名证书，但是如果自签名证书特征比较明显，就还可以通过证书的信息大致筛查可能是你持有的其他服务器。

拿我的一个反例给大家看，通过MySSL这一CA关键词，就能轻松揪出我在用的某几台服务器。

所以用作保护服务器的默认证书要符合以下两个条件：

第一：不包含任何域名信息，所以配置为服务器的IP证书最佳 第二：CA下的同类型证书足够大众，不易被特征匹配到

如果执意要自签名的话，推荐以下两个：

MySSL：

https://myssl.com/create_test_cert.html 

MkCert：

https://github.com/FiloSottile/mkcert

经过对这些的思考之后，我觉得还是签发一个有效的IP证书对于隐藏源站最有效。目前能免费提供90天的IP证书的商家就两个，一个ZeroSSL，另一个是环智中诚的Encryption365。前者已经免费的够久了，签发量极大；后者推出来没多久，还只能用API或者宝塔客户端签发，所以无脑推荐前者ZeroSSL。

ZeroSSL的WEB端限制诸多，而ACME端则与LE几乎一致，但是很遗憾我尝试了通过ACME并不能签发他家的IP证书，所以还是WEB端处理吧。

整个签发流程非常流畅，将你的服务器IP填写在域名一栏即可，由于是IP证书因此仅支持HTTP校验，将对应的验证文件放置到其.well-known下pki-validation文件夹即可，提交CA扫描成功后几乎是秒下发。

这个默认的证书过期了也无所谓，保持它作为默认证书部署着就可以了，反正目的也不是用它来进行访问。

二、配置默认证书

我的服务器用的是NGINX，直接单独新建一个vhost比如

default.com，为它配置好将刚才签发的证书。然后在配置文件server段中添加default_server参数，让其作为默认主机去响应，同时加上return 444，让此vhost不对外提供内容。

#指定默认vhostlisten 80 default_server;listen 443 ssl http2 default_server;server_name default.host;index index.html;root /wwwroot/

default.com; #指定返回444return444;

• 2宝塔版 已准备好ssl证书复制粘贴就好

1.首先我们创建一个叫 www.www.www 的站点，域名随便填一个

2.将默认站点改为刚刚创建的站点

3.配置好这个站点的ssl证书

证书在下方

对应宝塔的 密钥(KEY)

对应宝塔的 证书(PEM格式)

直接复制粘贴保存

4.推荐给源服务器禁ping

结语

解决这种泄露源站的问题还有几种其他的方案，比如只监听并以IPv6为源站、只允许CDN段访问你的服务器等，这都是绝佳的解决方案。但是实际情况中特别是网站多了情况愈加复杂，一味地去应用白名单也可能给自己带来一些不必要的麻烦。

还有就是屏蔽Censys扫描的IP段，其实这是一种掩耳盗铃的做法，据我所知包括国内的

IPIP.NET以及一众安全厂商都在做这样的全网扫描，单单去屏蔽是屏蔽不完的。

------本页内容已结束，喜欢请分享------

感谢您的来访，获取更多精彩文章请收藏本站。