别让 SSL 证书暴露了你的源站 IP[基础教程]

杂谈

有很多站长（比如我）选择为自己的网站套上cdn，比起加速效果我相信更多人是为了保护自己那脆弱可怜幼小无助的源站ip不被人发现，不过有亿些平台 例如 https://search.censys.io/ 会通过nginx的‘特性’来批量扫描 https://ip 以通过ssl证书获取ip与源站的对应关系

大概的原理就是在使用nginx的服务器上如果你没有给你的ip绑定一个默认站点，那么访问 https://你的ip 就可以访问到你服务器上最新的站点，即使你像百度一样设置了405之类的状态码，也可以通过查看ssl证书来知道你这个ip对应的是哪个网站

别问人家不知道你的域名怎么知道的你的ip，问就是批量扫的，如果扫到了那就是简单的对应关系了

看到这个证书就能发现 [220.181.38.148] 对应的是 baidu.cn，那么反过来baidu.cn对应的源站IP之一就是220.181.38.148

所以说我就中招了（删库跑路中）

至于解决方法也很简单（如果你还没中枪），这里用宝塔面板演示一遍（中枪了就赶紧换ip吧）

首先给你的服务器添加一个站点

添加完成以后把你的ip默认站点绑定为你刚刚新添加的站

接下来访问 https://myssl.com/create_test_cert.html 来自定义一个ssl证书，这里我把我弄好的放在这，需要的可以自取

密钥(KEY)

这个证书的效果如下图，是一个空证书

到这里你那脆弱可怜幼小无助的源站ip就暂时安全了（或许吧）

当然，你可以自定义一下IP对应站点的页面，比如

# 商业转载请联系作者获得授权，非商业转载请注明出处。
# For commercial use, please contact the author for authorization. For non-commercial use, please indicate the source.
# 协议(License)：署名-非商业性使用-相同方式共享 4.0 国际 (CC BY-NC-SA 4.0)
# 作者(Author)：夏秋
# 链接(URL)：https://www.24hdg.cn/283.html
# 来源(Source)：南秋博客

<!DOCTYPE html>
<html>
  <head>
    <meta charset="utf-8">
    <title>404 Not Found</title>
  </head>
  <body>
    <center>
      <h1>别扫了,劳资的网站也是你能扫得到的?</h1>
    </center>
    <hr>
    <center>https://search.censys.io/</center>
  </body>
</html>