ssl_protocols[SSLv2][SSLv3][TLSv1][TLSv1.1][TLSv1.2][TLSv1.3]; 默认值是 TLSv1 TLSv1.1 TLSv1.2 ,TLSv1.1 和 TLSv1.2 参数(1.1.13、1.0.12)仅在使用 OpenSSL 1.0.1 或更高版本时有效。TLSv1.3 参数 (1.13.0) 仅在使用 OpenSSL 1.1.1 或更高版本时有效。 ssl_reject_handshake 如果启用,...
Nginx学习:SSL模块(一)简单配置与指令介绍 又是一个重点模块,SSL 模块,其实就是我们常见的 HTTPS 所需要的配置模块。HTTPS 的重要性不用多说了吧,现在所有的 App、小程序 都强制要求是 HTTPS 的,即使是网站开发,百度也明确了对 HTTPS 的收录会更好。也就是说,HTTPS 已经成为了事实上的正式环境协议标准。 在...
{ listen 443 ssl http2; ssl_reject_handshake on; } 1. 2. 3. 4. 5. 最后保存配置即可。 注意:ssl_reject_handshake需要 Nginx 至少是 1.91.x 以上版本才支持哦! 2、一定要开启 Nginx 的站点日志 站点日志的作用非常重要,这点儿明月在【说说 Nginx 日志(Log)在网站安全上的重要性】一文里已经强调过...
Nginx 1.19.4 introduced a new feature called "ssl_reject_handshake" which can be used to block unwanted SSL handshakes. I noticed that, when enabled, it effectively turns off TLSv1.3. I opened the following ticket: https://trac.nginx.org...
在nginx1.19.4 及以上版本,禁止非预期域名直接访问配置也很简单,只需要添加443端口监听并配置ssl_reject_handshake on即可,具体可参见NGINX 配置避免 IP 访问时证书暴露域名 但是对于低版本nginx,需要配置对应443端口规则,还需要配置一个自签名IP证书(不配置证书的情况下nginx -t就会直接报配置不正确),配置如下: ...
引入ssl_reject_handshake 和 ssl_conf_command指令 使用lingering_close, keepalive_timeout, keepalive_time 和 keepalive_requests 指令简化和提升对 HTTP/2 连接的处理 以严格模式处理上游服务器的响应 支持处理 cookie flags 基于最小可用空间的缓存清除 ...
ssl_reject_handshakeon;#非服务器名称的 SSL 握手直接拒绝 return444; } server{ listen80default_server; listen[::]:80default_server; server_name_; return444; } server{ listen80; listen[::]:80; server_namehttp-proxy.xiaoshuogeng.com;
listen 443 ssl http2 default_server; server_name default.com; return 444; 如下图 大功告成,现在直接访问HTTP://IP或者HTTPS://IP 就会出现这样的提示 然后网上的漏洞扫描程序,扫到的这个IP的证书就是dnspod的了,这样你的IP就不会泄露 PS:目前最新的NGINX 1.19 已经直接支持设置ssl_reject_handshake,即终...
防止SSL证书泄露源IP 由于开启https默认需要证书文件,但如使用域名的证书文件没有对外来IP进行限制则可能导致源站IP泄露。 修改配置文件 在nginx配置文件http或server中添加如下配置: 目测不支持泛域名证书! 复制 # 禁止指定域名外证书访问ssl_reject_handshake on; ...
引入ssl_reject_handshake 和 ssl_conf_command 指令 使用lingering_close , keepalive_timeout , keepalive_time 和 keepalive_requests 指令简化和提升对 HTTP/2 连接的处理 以严格模式处理上游服务器的响应 支持处理 cookie flags 基于 最小可用空间 的缓存清除 ...