V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
kenvix
V2EX  ›  问与答

Nginx 能不能禁用 SNI?

  •  
  •   kenvix · 2019-01-13 18:48:08 +08:00 via Android · 5470 次点击
    这是一个创建于 2175 天前的主题,其中的信息可能已经有所发展或是发生改变。
    想要禁用 SNI 以避免泄露所访问的网站,TLS1.3 暂时不考虑,有没有禁用 SNI 的办法?
    Google 也没搜到啥办法
    第 1 条附言  ·  2023-12-09 21:33:27 +08:00
    该问题已结题,谨防 @soft101team 等人恶意挖坟。有关被挖坟原因,请详见 https://v2ex.com/t/998906#reply191
    第 2 条附言  ·  2023-12-09 23:53:55 +08:00
    今日 V2 究极大乐子,精神分裂症晚期患者

    《 别 人 身 攻 击 》,指在 https://www.v2ex.com/t/991304#reply13 无端辱骂物理系 dalao 为 sb
    《 理 性 思 考 上 纲 上 线》,指在 https://www.v2ex.com/t/954531#reply4 无端辱骂计算机白学

    《很 正 常 的 想 法》有人问香皂选型 https://www.v2ex.com/t/599488#reply118 疯言疯语
    《不 会 去 查 查》有人问耳机买什么 https://www.v2ex.com/t/993002#reply1 补 充 硬 件 知 识
    🤣
    22 条回复    2023-12-10 15:24:08 +08:00
    0ZXYDDu796nVCFxq
        1
    0ZXYDDu796nVCFxq  
       2019-01-13 19:38:22 +08:00 via Android   ❤️ 1
    server {
    listen 443 ssl default_server;
    }

    配置一个默认服务,证书自签一个 example.com 之类的域名,机构邮箱等信息填虚假的
    isCyan
        2
    isCyan  
       2019-01-13 19:44:14 +08:00 via Android   ❤️ 1
    有一个东西叫 strict sni
    需要 patch 补丁到 nginx 源码然后重新编译

    https://github.com/hakasenyang/openssl-patch
    gamexg
        3
    gamexg  
       2019-01-13 21:04:23 +08:00 via Android   ❤️ 1
    意思是避免被抓包发现客户访问的域名?

    难以实现。
    据我所知,除了 winxp 下的 ie,其他浏览器都会在建立连接时的发送的第一个包就携带了 sni 域名信息,服务器收到后才会发送第一个回应包。
    我想不到有什么办法能够在不修改浏览器的情况下阻止这个。
    即使服务器能声明不支持 sni,但是那也是客户端已经发出 sni 之后的事情了。
    Kobayashi
        4
    Kobayashi  
       2019-01-13 22:22:26 +08:00 via Android
    别急,还有 DNS 等着你呢。
    lcdtyph
        5
    lcdtyph  
       2019-01-13 22:24:04 +08:00 via iPhone
    @Kobayashi dns 解决方案很多
    myliyifei
        6
    myliyifei  
       2019-01-13 23:09:55 +08:00 via Android
    @lcdtyph 比如说?
    lcdtyph
        7
    lcdtyph  
       2019-01-13 23:37:26 +08:00 via iPhone
    @myliyifei dnscryprt dns-over-tls
    msg7086
        8
    msg7086  
       2019-01-14 06:32:30 +08:00
    nginx 总能修改源码禁用的。问题是泄露访问网站的是你的浏览器啊。nginx 只是 SNI 接收方而已。
    julyclyde
        9
    julyclyde  
       2019-01-15 15:18:20 +08:00
    从 TLS 的流程来看,这事完全取决于客户端
    soft101team
        10
    soft101team  
       2023-12-09 20:45:13 +08:00
    别人劝你多学习你摆个 title 出来。我看你还是退学吧
    kenvix
        11
    kenvix  
    OP
       2023-12-09 21:27:16 +08:00
    @soft101team ?什么牛头不对马嘴的?破防了?
    soft101team
        12
    soft101team  
       2023-12-09 21:32:55 +08:00
    多学习学习再出来提问,动点脑子
    kenvix
        13
    kenvix  
    OP
       2023-12-09 21:45:55 +08:00
    @soft101team 🤣👉🤡 提出这个问题的时候我还在读高中,你看看自己是个什么成分再说吧
    soft101team
        14
    soft101team  
       2023-12-10 00:50:19 +08:00
    这么简单的问题,不应该先回去读一下文档吗?
    是计算机专业毕业的吗
    soft101team
        15
    soft101team  
       2023-12-10 00:50:51 +08:00
    哪怕你问问 chatgtp 也不至于在这瞎提问
    kenvix
        16
    kenvix  
    OP
       2023-12-10 00:59:54 +08:00 via Android
    @soft101team chatgtp
    你要笑的我失眠了🤣
    soft101team
        17
    soft101team  
       2023-12-10 01:05:32 +08:00
    大家看看他如何在别人的评论下面骂人的。OP 你自己看看你自己是怎么在别人的帖子下无脑的骂人的 ~ 我的回复一个脏话也没有
    kenvix
        18
    kenvix  
    OP
       2023-12-10 01:20:47 +08:00 via Android
    @soft101team 我寻思哪所高中还分专业的啊?不只有文理科之分吗。哦,有人不会读的是野鸡职高技校吧,不会吧不会吧🤣🤣🤣
    soft101team
        19
    soft101team  
       2023-12-10 01:26:10 +08:00
    别顾左右而言他了,让大家看看 你是如何骂别人的 吧!多说无益,胆敢在骂,必有还击,手段很多
    kenvix
        20
    kenvix  
    OP
       2023-12-10 09:11:19 +08:00 via Android
    @soft101team 从速还击,请🤣
    INW017bzMfgkkYGn
        21
    INW017bzMfgkkYGn  
       2023-12-10 14:06:41 +08:00
    @kenvix 哈哈,现在的墙真是变矮了,高中生脾气的人都能出来了。
    kenvix
        22
    kenvix  
    OP
       2023-12-10 15:24:08 +08:00
    @default 毕竟玻璃心,几句话就破防了。得多去抗压吧孙吧练练🤣
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2603 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 01:44 · PVG 09:44 · LAX 17:44 · JFK 20:44
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.