Как запретить доступ в NGINX ко всем несуществующим доменам третьего уровня у сайта по SSL (443 порт)?

Question

[Alex]

Приветствую всех.
Вначале скажу, что мануал почитал, в поисковиках решение искал, на рабочем проекте наэкспериментировался, но сделать что требовалось не смог, поэтому прошу помощи у сообщества.

Итак, задача вроде как банальная, запретить доступ в NGINX ко всем несуществующим доменам третьего уровня у сайта site2.ru по SSL (по 80 порту запрет есть в данный момент). Т.е. сейчас браузер по несуществующему имени, например, t.site2.ru ничего не показывает, т.к. ssl-сертификат действителен только для основного домена, но поисковик при этом получает содержание site2.ru, а должен получать 403-код ответа.

В Итернет абсолютное большинство решений для 80 порта, но вроде как с 443 тоже самое, в итоге решение сводится к следующему, необходимо в конфигурационный файл NGINX добавить запись:

server {
listen 443 default_server;
server_name _;
access_log /dev/null;
error_log /dev/null;
return 403;
}

Но если таковую добавить у меня перестает открываться и основной домен (в примере ниже это site2.ru)!

В итоге мой файл выглядит в сокращенном виде следующим образом:

http {

server {
listen 80 default;
server_name site1.ru www.site1.ru;
error_log /dev/null;
access_log /dev/null;
return 444;
}

server {
listen 80;
server_name site2.ru www.site2.ru;
return 301 https://$host$request_uri;
}

############## если добавить, что советуют в Интернет ##############

server {
listen 443 default_server;
server_name _;
access_log /dev/null;
error_log /dev/null;
return 403;
}

########################################################

server {
listen 443 ssl http2;
server_name site2.ru www.site2.ru;
...
}

}

Как же решить задачу и запретить доступ в NGINX ко всем несуществующим доменам третьего уровня у сайта site2.ru по SSL (443 порт)?

Answer 1

[Владимир Муковоз]

Всё достаточно банально.
https://nginx.ru/ru/docs/http/request_processing.html
Вот тут расписано как Nginx обрабатывает запросы. Теперь тут сразу понятно на чём Вы встряли, ведь если не сконфигурированный поддомен обращается по порту 80, тут достаточно просто, можно сконфигурировать дефолтный виртуальный хост и в нём к примеру редиректить на основной или запрещать доступ, да вообщем-то как угодно. Но если обращение идёт по 443 по ssl, значит чтобы соединение состоялось нужен сертификат, которого для каждого не существующего поддомена у Вас нет. Выходов из положения несколько.
1. Вот в эту конфигурацию добавить настройку с с самоподписным сертификатом, минусом будет то что если перейдёт человек он увидит что сайт не безопасен и бог знает что может подумать про основной домен) Вдруг он не достаточно образован чтобы понимать почему ему показывается это сообщение и примет Вас за мошенника.

server {
listen 443 default_server;
server_name _;
access_log /dev/null;
error_log /dev/null;
return 403;
}

Вопрос, на кой отправлять логи в нули??? Не проще их выключить, что за дикость)

2. Купить сертификат который сразу защищает и сам домен и все его поддомены и прикрутить его туда, в этом случае всё будет так же гладко как и в случае с портом 80, если конечно кто-то не надумает ломиться на домены третьего уровня)))

3. В DNS направить на сервер только те домены и поддомены которые реально есть, в этом случае всем остальным будет показываться вот это.

Читайте больше документации)

Comments

[Alex]

Спасибо, Владимир, за быстрый ответ.

Если я правильно вас понял, то без сертификата (самоподписного или покупного) на уровне NGINX нельзя отдать 403-ответ (или 404 или 444)?

С DNS меня решение в принципе устраивает, другое дело хотелось бы понять все-таки можно отдать в этом случае 403-ответ или совсем никак без сертификата?

По поводу "/dev/null", скопировал из примера с какого-то сайта, у меня в настоящем конфиге, не знаю насколько это верно, сейчас указано так:
access_log off;
error_log /dev/null error;

[Владимир Муковоз]

Alex,

Если я правильно вас понял, то без сертификата (самоподписного или покупного) на уровне NGINX нельзя отдать 403-ответ (или 404 или 444)?

без конфигурирования ssl соединение не состоится и клиент получит вот такое окно

вот такое окно

С DNS меня решение в принципе устраивает, другое дело хотелось бы понять все-таки можно отдать в этом случае 403-ответ или совсем никак без сертификата?

Сертификат нужен, хоть какой-то.

По поводу "/dev/null", скопировал из примера с какого-то сайта, у меня в настоящем конфиге, не знаю насколько это верно, сейчас указано так:
access_log off;
error_log /dev/null error;

У Nginx достойная документация на русском языке, читать говноинструкции на левых сайтах как правило себе дороже. Во втором случае тоже поставьте off.
https://nginx.ru/ru/docs/http/ngx_http_log_module....
https://nginx.ru/ru/docs/ngx_core_module.html#error_log

[Alex]

Владимир Муковоз, спасибо большое за подробные ответы.
И последнее, правильно ли я понимаю, что по этой же причине что нет никакого сертификата, не получается также переадресовать запрос с третьего уровня на первый, например, так?

server {
listen 443;
server_name *.site2.ru;
return 301 https://$host$request_uri;
}

[Владимир Муковоз]

Alex, в данном случае этот виртуальный хост будет использоваться если кто-то наберёт вот такую строку в браузере.
http://random.site2.ru:443
Вместо рандом можно указать что угодно. Попробуйте сами так набрать и Вас редиректнет) Вы не верно конфигурируете виртуальные хосты, читайте документацию.
https://nginx.ru/ru/docs/http/configuring_https_se...
Данный виртуальный хост не является https, он обрабатывает только http запросы), но на порту 443.

Только сейчас понял, если у Вас на этом ip на порту 443 уже сконфигурирован ssl вас не редиректнет, а сообщит

[Alex]

Владимир Муковоз, да Вы правы вижу "400 Bad Request".
А про переадресацию все равно не понял. Допустим я пропишу listen 443 ssl http2; (у меня так и прописано для основного домена), то заработает переадресация без каких-либо сертификатов?

server {
listen 443 ssl http2;
server_name *.site2.ru;
return 301 https://$host$request_uri;
}

[Владимир Муковоз]

Alex,

то заработает переадресация без каких-либо сертификатов?

Сертификат конечно понадобится, как без него?

Answer 2

[Boris Köln]

Если https-запрос уже пришел на сервер, то сервер должен иметь валидный сертификат, иначе в браузере будет выведено предупреждение о невалидном сертификате.

Вариант 1: забить на невалидность сертификата, все равно отдавать 403.

Вариант 2: получить wildcard-сертификат *.site2.ru

Вариант 3: в NS-записях домена явно прописать все поддомены. На несуществующий поддомен браузер даже не будет отправлять запрос.

Comments

[Владимир Муковоз]

Вы бы хоть последовательность поменяли)) Я же написал тоже самое только другими словами? Смысл переписывать мой ответ?
И ещё

NS-записях домена явно прописать все поддомены.

Это делается не в NS записях, а в записях типа А и АААА. Если перефразируете ответы, делайте это корректно.

[Alex]

Спасибо, Борис, за внимание к моему вопросу.

Если я правильно понял Владимира, который ответил выше, то без сертификата (самоподписного или покупного) на уровне NGINX нельзя отдать 403-ответ?

А Вы пишите "Вариант 1: забить на невалидность сертификата, все равно отдавать 403", как тогда это сделать?

[Владимир Муковоз]

Alex, так же как я и написал в своём варианте 1, поставить самоподписный сертификат. Его ответы просто перефразированы.

[Boris Köln]

Владимир Муковоз, если вы на несколько секунд раньше написали свой ответ, это не значит, что я его видел на момент написания своего ответа. Можете гордиться своим ответом и дальше.

Alex, использовать любой сертификат. Можно самоподписанный (например, /etc/nginx/snippets/snakeoil.conf). Можно от базового домена.

[Владимир Муковоз]

Boris Korobkov,

если вы на несколько секунд раньше написали свой ответ, это не значит, что я его видел на момент написания своего ответа. Можете гордиться своим ответом и дальше.

Прошу прощения тогда за свой тон, но просто об этом не подумал ввиду того что Вы в точь скопировали те же пункты)