Nginx. 如何拒绝对未列出的 SSL 虚拟服务器的请求？

Question 1

它不是那样工作的：SSL 握手发生在 HTTP 之前，因此在您重定向或在 nginx 配置中执行任何其他操作之前，证书上的名称将在浏览器中进行评估。

Answer

它不是那样工作的：SSL 握手发生在 HTTP 之前，因此在您重定向或在 nginx 配置中执行任何其他操作之前，证书上的名称将在浏览器中进行评估。

Question 2

此时，该问题的答案可以更新了。

对于 Nginx ≥ 1.19.4： http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_reject_handshake

server {
    listen               443 ssl default_server;
    ssl_reject_handshake on;
}

server {
    listen              443 ssl;
    server_name         example.com;
    ssl_certificate     example.com.crt;
    ssl_certificate_key example.com.key;
}

对于 Nginx < 1.19.4：使用https://git.hakase.app/Hakase/openssl-patch

http {
    # control options
    strict_sni on;
    strict_sni_header on;

    # fake server block
    server {
        server_name  localhost;
        listen       80;
        listen       443 ssl default_server; # "default_server" is necessary
        ssl_certificate /root/cert.crt; # Can be any certificate here
        ssl_certificate_key /root/cert.key; # Can be any certificate here

        location / {
            return 444;
        }
    }

    # normal server blocks
    server {
        server_name  normal_domain.tld;
        listen       80;
        listen       443 ssl;
        ssl_certificate /root/cert.crt; # Your real certificate here
        ssl_certificate_key /root/cert/cert.key; # Your real certificate here

        location / {
            echo "Hello World!";   
        }
    }
}

对于不熟悉如何将补丁应用于 Nginx 的新手，你可以检查一下：https://stackoverflow.com/questions/64225024/64225025#64225025

Answer

此时，该问题的答案可以更新了。

对于 Nginx ≥ 1.19.4： http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_reject_handshake

server {
    listen               443 ssl default_server;
    ssl_reject_handshake on;
}

server {
    listen              443 ssl;
    server_name         example.com;
    ssl_certificate     example.com.crt;
    ssl_certificate_key example.com.key;
}

对于 Nginx < 1.19.4：使用https://git.hakase.app/Hakase/openssl-patch

http {
    # control options
    strict_sni on;
    strict_sni_header on;

    # fake server block
    server {
        server_name  localhost;
        listen       80;
        listen       443 ssl default_server; # "default_server" is necessary
        ssl_certificate /root/cert.crt; # Can be any certificate here
        ssl_certificate_key /root/cert.key; # Can be any certificate here

        location / {
            return 444;
        }
    }

    # normal server blocks
    server {
        server_name  normal_domain.tld;
        listen       80;
        listen       443 ssl;
        ssl_certificate /root/cert.crt; # Your real certificate here
        ssl_certificate_key /root/cert/cert.key; # Your real certificate here

        location / {
            echo "Hello World!";   
        }
    }
}

对于不熟悉如何将补丁应用于 Nginx 的新手，你可以检查一下：https://stackoverflow.com/questions/64225024/64225025#64225025

Question 3

cjc 的回答已经正确指出了启用 SSL 时尝试匹配主机名的问题。但是，可以这样做，如下所示：

server {
    ...

    if ($host !~* ^validname\.domain\.com$ ) {
        return 444;
    }
    ...
}

注意：是的，一般来说if是邪恶的，但在这种情况下使用是安全的if。（如果您需要确认，请阅读链接页面。）

与建议相反，仅添加以下块是行不通的：

server {
    listen 80;
    listen 443 ssl;
    return 444;
}

因为匹配的 SSL 证书validname.domain.com不会匹配某个随机域名。我试过了，nginx 表现得好像根本没有阻止一样。

这也行不通：

server {
    listen       443;
    server_name    _;
    return 444; 
}

因为它将使每一个端口 443 上的 HTTPS 连接失败，甚至那些应该通过的也失败了。我也试过了。wget报告了 SSL 握手错误。

Answer