别让SSL暴露了你的源站IP

SSL证书导致源站IP泄露

一般我们做网站都会将网站的源IP隐藏掉，因为源IP一旦泄露就代表着你的网站可以被人随意攻击，特别跟本站一样的博客站，一般做博客网站服务器配置都不会说配置很高，像本站的服务器就是100块的入门服务器，泄露IP之后被人D一下马上就会进黑洞。一般都是选择给网站套个CDN来解决，但是问题来了，如果你的网站有使用SSL证书，那么你的源站IP同样是可以被人查到

原理

search.censys.io 这个网站可以通过nginx漏洞扫描到我们的服务器IP

在网站使用SSL之后，直接访问https://源站IP之后点击浏览及左上角就可以获取到你的网站的SSL证书，在证书里面就可以看到你的域名，这样就间接确定了我们的源站IP

示例

我们随便在search.censys.io网站上面扫描一个网站的IP

我们将获取到的119开头的IP直接浏览器加https://来访问，然后再查看左上角的网站信息

然后点击查看证书我们就可以的下图的内容，这样也就证明了这个342开头的网站的源IP是119开头的这个IP

解决方法

解决方法也是非常简单，下面用宝塔面板来演示一下操作流程

宝塔新建一个假站点

域名随便填一个就行

给假站点申请SSL证书

myssl.com/create_test_cert.html 这个网站可以申请自签证书，下面我用ip.com来举例

给假站点部署证书并设置为默认站点

成功

我们再次用https://源站IP来获取SSL证书就会获取到这个假证书

这样我们就避免了这个漏洞，当然，想要查源IP肯定还是有办法，但是至少这样可以提高攻击你网站的门槛，如果已经暴露了那么你需要操作之后更换一下你的公网IP