默认情况下,nginx 使用 SNI 为具有多个证书的 https 请求提供服务。不支持 SNI 的客户端的后备方案将是 default_server 或已配置的第一个 vhost。
我希望 nginx不是为不支持 SNI 的客户端提供服务。
例如,如果我在 ssllabs.com 上使用 ssl 测试检查站点,则会显示由 SNI 发送的证书,但也将显示不支持 SNI 的后备证书。
我正在寻找 HAProxy 中的 strict-sni 之类的东西。
我没有使用 nginx+。
答案1
您是否尝试过使用以下server
IP 地址创建 块:server_name
ssl_reject_handshake on
nginx 版本 1.19.4及以上?
这应该可以防止回答没有 SNI 的 IP。