问题背景：SSL证书如何导致源站IP泄露

近期多位站长反馈，即使已部署高防CDN并做好源站IP保密工作，服务器仍频繁遭受DDoS攻击。经深入排查，发现问题根源在于SSL证书。当前网络环境中存在大量爬虫工具24小时不间断扫描全网IP地址，这些工具会：

1. 对所有IP地址发起HTTPS请求
2. 捕获服务器返回的SSL证书信息
3. 将证书中的域名与IP关联记录到公开数据库
4. 攻击者通过这些数据库可轻松反查出源站真实IP

​​验证方法​​：直接在浏览器访问https://您的源站IP，如果显示锁形标志并出现您的域名证书，则存在IP泄露风险。

解决方案原理

通过在源站配置一个"无效"的默认SSL证书，当爬虫扫描IP地址时：

1. 只会获取到这个无效证书
2. 无法关联到您的真实域名
3. 从而切断IP与域名的关联链条
4. 有效隐藏真实业务域名与IP的对应关系

宝塔面板详细操作指南

第一步：创建"诱饵"网站

1. 登录宝塔面板，进入【网站】菜单
2. 点击【添加站点】按钮
3. 在域名栏填写任意内容（如1.1.1.1或无效域名）
4. 其他设置保持默认，点击提交

第二步：清理默认文件

1. 进入该网站的根目录
2. 删除宝塔自动生成的所有文件（包括index.html等）
3. 确保目录完全为空

第三步：配置无效SSL证书

1. 进入【SSL】选项卡
2. 选择"其他证书"选项
3. 将提供的证书内容粘贴到"证书(PEM格式)"栏
4. 将提供的密钥内容粘贴到"密钥(KEY)"栏
5. 点击保存配置

注：本文提供的证书专用于防护，虽然显示过期但不影响防护效果

第四步：设为默认站点

1. 返回宝塔面板【网站】首页
2. 找到【默认站点】设置
3. 选择刚才创建的"诱饵"网站
4. 保存设置

技术原理解析

这种防护方法之所以有效，是因为：

1. ​​HTTPS握手特性​​：客户端在TLS握手阶段就会收到服务器证书
2. ​​爬虫工作逻辑​​：大部分IP扫描工具仅分析证书中的域名信息
3. ​​证书优先级​​：当请求直接访问IP时，服务器会返回默认站点的证书
4. ​​信息脱钩​​：无效证书切断了IP与真实域名的关联性

高级用户自定义证书指南

对于有技术能力的用户，可以自行生成专用防护证书：

# 生成RSA私钥

openssl genrsa -out dummy.key 2048

# 创建CSR配置文件

cat > dummy.cnf <<EOF

[req]

distinguished_name = req_distinguished_name

req_extensions = v3_req

prompt = no

[req_distinguished_name]

C = US

ST = California

L = Mountain View

O = Dummy Inc

OU = Dummy Department

CN = invalid.example.com

[v3_req]

keyUsage = nonRepudiation, digitalSignature, keyEncipherment

extendedKeyUsage = serverAuth

subjectAltName = @alt_names

[alt_names]

DNS.1 = invalid.example.com

EOF

# 生成自签名证书

openssl req -x509 -nodes -days 365 -newkey rsa:2048 \

  -keyout dummy.key -out dummy.crt -config dummy.cnf

防护效果验证

配置完成后，您可以通过以下方式验证防护效果：

1. 使用浏览器直接访问https://您的源站IP
   • 应看到证书警告（而非您的真实业务证书）
2. 使用OpenSSL命令行工具检测：

 echo | openssl s_client -connect 您的IP:443 | openssl x509 -noout -subject

 

1. 应显示无效证书信息
2. 通过公开的SSL证书查询工具检查IP关联的域名

注意事项

1. ​​业务证书仍需保留​​：真实域名访问仍需要配置有效证书
2. ​​不影响CDN功能​​：此设置仅影响直接访问IP的行为
3. ​​多IP情况​​：如果服务器有多个IP，需为每个IP配置防护
4. ​​配合其他措施​​：建议同时启用防火墙、限制直接IP访问等增强防护

总结

通过这种巧妙的SSL证书配置方法，您可以有效切断源站IP与业务域名的公开关联，从根本上解决因证书导致的IP泄露问题。这种方法具有：

• 实施简单：无需复杂配置
• 成本低廉：无需额外硬件投入
• 效果显著：从源头阻断IP信息泄露
• 兼容性好：不影响正常业务访问

建议所有使用CDN服务的网站管理员都进行此项基础安全配置，为服务器安全增加一道重要防线。