Nginx 能不能禁用 SNI?

2019-01-13 18:48:08 +08:00
 kenvix
想要禁用 SNI 以避免泄露所访问的网站,TLS1.3 暂时不考虑,有没有禁用 SNI 的办法?
Google 也没搜到啥办法
5453 次点击
所在节点    问与答
22 条回复
0ZXYDDu796nVCFxq
2019-01-13 19:38:22 +08:00
server {
listen 443 ssl default_server;
}

配置一个默认服务,证书自签一个 example.com 之类的域名,机构邮箱等信息填虚假的
isCyan
2019-01-13 19:44:14 +08:00
有一个东西叫 strict sni
需要 patch 补丁到 nginx 源码然后重新编译

https://github.com/hakasenyang/openssl-patch
gamexg
2019-01-13 21:04:23 +08:00
意思是避免被抓包发现客户访问的域名?

难以实现。
据我所知,除了 winxp 下的 ie,其他浏览器都会在建立连接时的发送的第一个包就携带了 sni 域名信息,服务器收到后才会发送第一个回应包。
我想不到有什么办法能够在不修改浏览器的情况下阻止这个。
即使服务器能声明不支持 sni,但是那也是客户端已经发出 sni 之后的事情了。
Kobayashi
2019-01-13 22:22:26 +08:00
别急,还有 DNS 等着你呢。
lcdtyph
2019-01-13 22:24:04 +08:00
@Kobayashi dns 解决方案很多
myliyifei
2019-01-13 23:09:55 +08:00
@lcdtyph 比如说?
lcdtyph
2019-01-13 23:37:26 +08:00
@myliyifei dnscryprt dns-over-tls
msg7086
2019-01-14 06:32:30 +08:00
nginx 总能修改源码禁用的。问题是泄露访问网站的是你的浏览器啊。nginx 只是 SNI 接收方而已。
julyclyde
2019-01-15 15:18:20 +08:00
从 TLS 的流程来看,这事完全取决于客户端
soft101team
354 天前
别人劝你多学习你摆个 title 出来。我看你还是退学吧
kenvix
354 天前
@soft101team ?什么牛头不对马嘴的?破防了?
soft101team
354 天前
多学习学习再出来提问,动点脑子
kenvix
354 天前
@soft101team 🤣👉🤡 提出这个问题的时候我还在读高中,你看看自己是个什么成分再说吧
soft101team
354 天前
这么简单的问题,不应该先回去读一下文档吗?
是计算机专业毕业的吗
soft101team
354 天前
哪怕你问问 chatgtp 也不至于在这瞎提问
kenvix
354 天前
@soft101team chatgtp
你要笑的我失眠了🤣
soft101team
354 天前
大家看看他如何在别人的评论下面骂人的。OP 你自己看看你自己是怎么在别人的帖子下无脑的骂人的 ~ 我的回复一个脏话也没有
kenvix
354 天前
@soft101team 我寻思哪所高中还分专业的啊?不只有文理科之分吗。哦,有人不会读的是野鸡职高技校吧,不会吧不会吧🤣🤣🤣
soft101team
354 天前
别顾左右而言他了,让大家看看 你是如何骂别人的 吧!多说无益,胆敢在骂,必有还击,手段很多
kenvix
354 天前
@soft101team 从速还击,请🤣

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/526645

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX