HTTPS 协议是为了保障网络通信的安全而存在的。它通过 SSL/TLS 证书对数据进行加密,让信息能够安全地在客户端和服务器之间传输。
HTTPS 证书在某些情况下,会暴露服务器 IP 地址。
HTTPS 证书暴露 IP 的原理:
当我们访问一个 HTTPS 网站时,浏览器和服务器之间会进行 TLS 握手来建立安全连接。在这个过程中,客户端会向服务器发送 “client hello” 信息,服务器收到后会回应 “server hello”,并携带自己的 SSL 证书。如果服务器配置不当,比如使用了 IP 地址生成的 SSL 证书,或者在 Nginx 等服务器软件的默认或错误配置下,直接访问 IP 的 443 端口,Nginx 会返回默认站点的 SSL 证书,而证书中的通用名称(common name)可能包含域名信息。
例如用Nginx或者宝塔部署网站,在默认或不正确的配置下,网站开启ssl,直接访问ip的443端口,即ip:443,Nginx会返回默认一个站点的ssl证书,间接的能让别人扫到这个ip对应的域名。
原理就是对ip的443端口发送clienthello,对方回复的 serverhello中有ssl证书,ssl证书里的common name 有域名信息。这样就知道了解析这个ip的域名。所以更准确的说是IP的443端口可能会暴露了域名。
动作再大一点,批量扫描机房的ip段,把对应的域名-ip 的多值映射表统计起来。以后想查某个域名对应的源站 ip 查这个表就够了,这是黑产喜欢干的事。同时也是很多站点,明明套上了cdn,依然能被打到源站IP的原因。
(IP访问根目录会获取到对应的证书)
通过这种方式,攻击者就有可能获取到解析该 IP 的域名,进而知道服务器的相关信息。更有甚者,攻击者可以批量扫描机房的 IP 段,建立域名 – IP 的映射表,这样就能轻松查到某个域名对应的源站 IP 了。
暴露 IP 带来的风险
遭受针对性攻击:一旦服务器的 IP 地址被暴露,攻击者就可以针对该 IP 进行各种攻击,如 DDoS 攻击,通过大量的请求使服务器瘫痪,导致网站无法正常访问。还可能进行端口扫描,寻找服务器上可能存在的漏洞,然后利用这些漏洞进行入侵,窃取敏感信息,如用户账号、密码、企业机密数据等。
隐私泄露:对于一些个人网站或企业内部网站,IP 地址的暴露可能会导致隐私信息的泄露。例如,网站管理员的个人信息、服务器所在的地理位置等都可能被攻击者获取,从而对个人或企业的隐私造成威胁。
如何防止 HTTPS 证书泄露 IP
1.优化服务器配置
避免使用 IP 地址生成 SSL 证书:尽量使用域名来申请和配置 SSL 证书,而不是使用 IP 地址。这样可以避免证书本身就包含可能暴露 IP 的信息。在证书申请流程中,选择正确的证书类型(如通配符证书、多域名证书等),以满足业务需求且不暴露 IP。
检查 Nginx 等服务器软件配置:仔细检查 Nginx 等服务器软件的配置文件,确保默认站点的 SSL 证书不会在错误访问时被返回。可以通过修改配置,让默认站点不启用 SSL,或者配置一个专门的默认 SSL 证书,且该证书不包含敏感信息。同时,配置 Nginx 的 server_name 指令,明确指定允许访问的域名,避免因配置不当导致证书泄露。
2.使用 CDN/高防IP/云安全服务的网络
1. 启用 CDN 的 SSL/TLS 终止功能:大多数 CDN 提供商都提供 SSL/TLS 终止功能,客户端与 CDN 之间的连接是加密的,而 CDN 与源服务器之间的连接可以是明文的,这样客户端就无法直接看到源服务器的 IP 地址。同时,要启用 CDN 的 SSL/TLS 证书,并确保所有通过 CDN 的请求都使用 HTTPS。
2. 配置 CDN 的缓存策略:合理配置 CDN 的缓存策略,让更多的静态资源(如图片、CSS、JavaScript 文件等)缓存在 CDN 节点上。这样不仅可以提高网站的访问速度,还能减少对源服务器的直接访问,降低 IP 暴露的风险。
3.隐藏服务器响应头
1. 删除敏感响应头信息:源服务器应避免在响应中包含任何可能泄露其 IP 地址的信息,如 X – Powered – By、Server 等 HTTP 头。CDN 通常会修改或删除这些头信息,所以要确保在配置 CDN 时启用这些功能。如果没有使用 CDN,可以在服务器配置中手动删除或修改这些响应头。
2. 使用自定义响应头:考虑使用自定义的响应头来代替可能暴露信息的默认响应头。例如,创建一个自定义的 “X – MyApp – Version” 头来代替 “X – Powered – By”,这样既能传递必要的信息,又不会暴露服务器的敏感信息。
4.使用私有 IP 地址
1. 在内部网络中通信:在 CDN 与源服务器之间,使用私有 IP 地址(如 RFC 1918 定义的地址,即 10.0.0.0 – 10.255.255.255、172.16.0.0 – 172.31.255.255、192.168.0.0 – 192.168.255.255)进行通信,防止外部实体直接访问到源服务器的真实 IP。确保 CDN 和源服务器位于同一私有网络中,并通过 VPN、专用线路或其他安全方式进行连接。
2. 配置防火墙规则:配置源服务器的防火墙规则,只允许 CDN 的 IP 地址或特定网络范围的 IP 访问源服务器。使用安全组或 ACL(访问控制列表)来进一步限制对源服务器的访问。例如,在云服务器环境中,可以设置安全组规则,只允许 CDN 节点的 IP 地址访问源服务器的特定端口(如 80 和 443 端口)。
5.禁止IP直接访问网站,配置无效证书
# 禁止IP直接访问网站
server {
listen 80 default_server;
listen [::]:80 default_server;
server_name _;
return 444;
}
使用自签IP的SSL证书,返回444。
自签证书的目的不是为了访问,而是避开Nginx的这个缺陷。生成自签的IP SSL证书可以用开源的Mkcert(https://myssl.com/create_test_cert.html)工具。Mkcert使用起来稍微麻烦,或者用一个测试证书的在线网页工具:https://myssl.com/create_test_cert.html
在填写域名的位置填上IP地址,点生成按钮会自动测试证书展示在下面,各自保存为.pem文件和.key文件。
最后在nginx里配置上“return 444”,类似配置大概:
{
listen 80 ;
listen 443 ssl http2 default_server;
server_name ip;
#HTTP_TO_HTTPS_END
ssl_certificate xxxx.pem;
ssl_certificate_key xxxx.pem;
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
return 444;
}
如何避免攻击发生
(一)服务器用不到的服务端口在防火墙上禁止
(二)更改服务器默认的远程端口,做密钥登陆
(三)小心服务器上传漏洞,程序业务逻辑要符合实际情况
(四)隐藏服务器IP地址,接口地址,防止被黑客直接攻击
(五)做好服务器数据异步备份,以防特殊情况发生
(六)及时更新服务器漏洞补丁,观察服务器环境做服务器监听报警
(七)如对安全不了解,不知如何部署可找专业的防护公司进行防护