【小教程】nginx 默认拒绝发送证书设置教程

iks

在 nginx 未指定其 SSL 连接监听端口的 default_server 时，nginx 会默认发送第一张 SSL 证书给客户端——即使客户端给的 SNI 为空或不属于本机任何一个配置了的 server_name，这会导致因证书被扫描器探知而导致某种意义上的信息泄露。
在 nginx 1.19.4 及 OpenSSL 1.1.1i 之前的解决方案一般是在 default_server 里指定一个自签的证书，但这样不够美观（个人的 OCD 症状）。好消息是，现在 nginx 可以直接在 server 块内设置 ssl_reject_handshake，即终止 SSL 握手阶段，避免证书的发送。
以下是 nginx server 区块的设置，【要求 nginx 版本 1.19.4 以上、（编译进 nginx 的）OpenSSL 版本 1.1.1i 以上，具体请执行 nginx -V 查看 nginx version 和 built with OpenSSL 的值】

1. server
   
2. {
   
3.         listen 443 ssl http2 default_server;
   
4.         server_name _;
   
5.         ssl_protocols TLSv1.2 TLSv1.3;
   
6.         ssl_reject_handshake on; //启用拒绝 TLS 握手
   
7.         ssl_session_cache shared:SSL:10m; //这个必须设置，不指定 ssl_session_cache 的话，会导致 Session resumption (caching) 验证失败
   
8.         ssl_session_timeout 10m;
   
9. 
   
10.         access_log  /www/wwwlogs/access.log;
    
11. }

复制代码

不用指定证书。改完保存然后重启 nginx 即可，效果如下：

1. root@debian:~# curl -v https://36.27.222.72
   
2. * Expire in 0 ms for 6 (transfer 0x5617b4965fb0)
   
3. *   Trying 36.27.222.72...
   
4. * TCP_NODELAY set
   
5. * Expire in 200 ms for 4 (transfer 0x5617b4965fb0)
   
6. * Connected to 36.27.222.72 (36.27.222.72) port 443 (#0)
   
7. * ALPN, offering h2
   
8. * ALPN, offering http/1.1
   
9. * successfully set certificate verify locations:
   
10. *   CAfile: none
    
11.   CApath: /etc/ssl/certs
    
12. * TLSv1.3 (OUT), TLS handshake, Client hello (1):
    
13. * TLSv1.3 (IN), TLS alert, unrecognized name (624):
    
14. * error:14094458:SSL routines:ssl3_read_bytes:tlsv1 unrecognized name
    
15. * Closing connection 0
    
16. curl: (35) error:14094458:SSL routines:ssl3_read_bytes:tlsv1 unrecognized name

复制代码

（ip 事假的，不用测）
可以看到，当客户端试图使用 https 方式访问此机器上不存在的 host 时，TLS 握手失败，返回值默认已经没有证书。

这样配置省了点时间（签自签证书的时间），要说更大的意义的话，就是在不考虑 no SNI 下的合规吧。

鸣谢
t.me/lalalaji

jqbaobao

自签个假证书完事

walterclozet

看不懂

燕十三丶

mark 技术教程要顶

oilbit

能解释下这个的深层次的意义吗
我们平时不是默认直接http 走80吗

hostloc8888

jqbaobao 发表于 2021-6-17 22:49
自签个假证书完事

有毒吧你，楼主又不是没介绍自签证书

iks

oilbit 发表于 2021-6-17 22:53
能解释下这个的深层次的意义吗
我们平时不是默认直接http 走80吗

主题帖第一行

可乐呀

这个不错，不用在自签个证书了

tiga

nginx-1.20.0 stable version 发布就用上了。