問題背景：SSL證書如何導致源站IP泄露

近期多位站長反饋，即使已部署高防CDN并做好源站IP保密工作，服務器仍頻繁遭受DDoS攻擊。經深入排查，發現問題根源在于SSL證書。當前網絡環境中存在大量爬蟲工具24小時不間斷掃描全網IP地址，這些工具會：

1. 對所有IP地址發起HTTPS請求
2. 捕獲服務器返回的SSL證書信息
3. 將證書中的域名與IP關聯記錄到公開數據庫
4. 攻擊者通過這些數據庫可輕松反查出源站真實IP

??驗證方法??：直接在瀏覽器訪問https://您的源站IP，如果顯示鎖形標志并出現您的域名證書，則存在IP泄露風險。

解決方案原理

通過在源站配置一個"無效"的默認SSL證書，當爬蟲掃描IP地址時：

1. 只會獲取到這個無效證書
2. 無法關聯到您的真實域名
3. 從而切斷IP與域名的關聯鏈條
4. 有效隱藏真實業務域名與IP的對應關系

寶塔面板詳細操作指南

第一步：創建"誘餌"網站

1. 登錄寶塔面板，進入【網站】菜單
2. 點擊【添加站點】按鈕
3. 在域名欄填寫任意內容（如1.1.1.1或無效域名）
4. 其他設置保持默認，點擊提交

第二步：清理默認文件

1. 進入該網站的根目錄
2. 刪除寶塔自動生成的所有文件（包括index.html等）
3. 確保目錄完全為空

第三步：配置無效SSL證書

1. 進入【SSL】選項卡
2. 選擇"其他證書"選項
3. 將提供的證書內容粘貼到"證書(PEM格式)"欄
4. 將提供的密鑰內容粘貼到"密鑰(KEY)"欄
5. 點擊保存配置

注：本文提供的證書專用于防護，雖然顯示過期但不影響防護效果

第四步：設為默認站點

1. 返回寶塔面板【網站】首頁
2. 找到【默認站點】設置
3. 選擇剛才創建的"誘餌"網站
4. 保存設置

技術原理解析

這種防護方法之所以有效，是因為：

1. ??HTTPS握手特性??：客戶端在TLS握手階段就會收到服務器證書
2. ??爬蟲工作邏輯??：大部分IP掃描工具僅分析證書中的域名信息
3. ??證書優先級??：當請求直接訪問IP時，服務器會返回默認站點的證書
4. ??信息脫鉤??：無效證書切斷了IP與真實域名的關聯性

高級用戶自定義證書指南

對于有技術能力的用戶，可以自行生成專用防護證書：

#?生成RSA私鑰

openssl?genrsa?-out?dummy.key?2048

#?創建CSR配置文件

cat?>?dummy.cnf?<<EOF

[req]

distinguished_name?=?req_distinguished_name

req_extensions?=?v3_req

prompt?=?no

[req_distinguished_name]

C?=?US

ST?=?California

L?=?Mountain?View

O?=?Dummy?Inc

OU?=?Dummy?Department

CN?=?invalid.example.com

[v3_req]

keyUsage?=?nonRepudiation,?digitalSignature,?keyEncipherment

extendedKeyUsage?=?serverAuth

subjectAltName?=?@alt_names

[alt_names]

DNS.1?=?invalid.example.com

EOF

#?生成自簽名證書

openssl?req?-x509?-nodes?-days?365?-newkey?rsa:2048?\

??-keyout?dummy.key?-out?dummy.crt?-config?dummy.cnf

防護效果驗證

配置完成后，您可以通過以下方式驗證防護效果：

1. 使用瀏覽器直接訪問https://您的源站IP
   • 應看到證書警告（而非您的真實業務證書）
2. 使用OpenSSL命令行工具檢測：

?echo | openssl s_client -connect 您的IP:443 | openssl x509 -noout -subject

?

1. 應顯示無效證書信息
2. 通過公開的SSL證書查詢工具檢查IP關聯的域名

注意事項

1. ??業務證書仍需保留??：真實域名訪問仍需要配置有效證書
2. ??不影響CDN功能??：此設置僅影響直接訪問IP的行為
3. ??多IP情況??：如果服務器有多個IP，需為每個IP配置防護
4. ??配合其他措施??：建議同時啟用防火墻、限制直接IP訪問等增強防護

總結

通過這種巧妙的SSL證書配置方法，您可以有效切斷源站IP與業務域名的公開關聯，從根本上解決因證書導致的IP泄露問題。這種方法具有：

• 實施簡單：無需復雜配置
• 成本低廉：無需額外硬件投入
• 效果顯著：從源頭阻斷IP信息泄露
• 兼容性好：不影響正常業務訪問

建議所有使用CDN服務的網站管理員都進行此項基礎安全配置，為服務器安全增加一道重要防線。