Работает сайт по HTTPS версии IP. Как исправить?

Question

[Yan Vetrov]

Я не силен в NGINX, приходится разбираться самому. У меня возникла проблема, пытался ограничить доступ по IP к сайту с помощью:

server {
listen 80;
server_name _;
return 444;
}

Однако, обнаружил, что при открытии HTTPS версии сайта - по IP к сайту можно обращаться. Что делать? Вот мой конфиг:

server {
	 root /var/www/birppl.ru/html;
	 index index.html index.htm index.nginx-debian.html;
	 server_name birppl.ru www.birppl.ru;
	 location / {
	 proxy_pass http://localhost:9000;
	 proxy_http_version 1.1;
	 proxy_set_header Upgrade $http_upgrade;
	 proxy_set_header Connection 'upgrade';
	 proxy_set_header Host $host;
	 proxy_cache_bypass $http_upgrade;
}

    listen [::]:443 ssl ipv6only=on; # managed by Certbot
    listen 443 ssl http2; # managed by Certbot
    ssl_certificate /etc/letsencrypt/live/birppl.ru/fullchain.pem; # managed by Certbot
    ssl_certificate_key /etc/letsencrypt/live/birppl.ru/privkey.pem; # managed by Certbot
    include /etc/letsencrypt/options-ssl-nginx.conf; # managed by Certbot
    ssl_dhparam /etc/letsencrypt/ssl-dhparams.pem; # managed by Certbot

}

server {
     if ($host = birppl.ru) {
         return 301 https://$host$request_uri;
     } # managed by Certbot

     listen 80; 
     listen [::]:80; 
     server_name birppl.ru www.birppl.ru;
     return 404; # managed by Certbot
}

Answer 1

[Виктор Таран]

Господа не выдумываем велосипед
Работа HTTPS в корне отличается от HTTP
При обращение по http ты вначале получаешь имя сайта из отета сервера на основание этого имени подставляется конфиг.
НО при HTTPS вы вначале получаете ключи, и только после этого множите получить хоть байт информации с канала.
Как следствие этого два постулата:
1. Если у вас есть хоть один сайт с https у всех остальных он появляется автоматически, хотите вы этого или нет, поскольку механизм разобра конфигов идет после установления канала, это фундоментально!
Так что при обращение по IP вы в любом случае получите ключи https, поскольку это тупо демон на порту.
2. Если нет пары ключей для именно этого домена, в частности IP будем считать как домен не имеющий явных ключей для себя. ТО от безвыходности веб сервер берет БЛИЖАЙШИЕ ключи сортируя их по имени то есть как правило это 000-default.conf
В котором у вас лежат как-раз таки дефолтные ключи, может быть даже самоподписаные, НО только после этого у вас возможно получене http reffer.
ну все что остается это завести ненужного товарищя в тупик
например вот так.

server {

listen 443 ssl;
       server_name default_server ;
       ssl_certificate        /etc/ssl/certs/ssl-cert-snakeoil.pem;
       ssl_certificate_key    /etc/ssl/private/ssl-cert-snakeoil.key;
       root /var/www/html;
       return 444;
}

Но не пытайтесь ограничить сайт по именам до получения ключей это просо невозможно
Намного проще сделать отдельный конфиг для этого айпи и уводить его в ловушку. чем ловить чего через default_server

Comments

[Владимир]

НО при HTTPS вы вначале получаете ключи, и только после этого множите получить хоть байт информации с канала.

Позвольте вас поправить: ваша информация немного устарела, сейчас почти везде используется SNI из rfc3546
Поэтому клиент до начала шифрования указывает домен для которого он хочет получить сертификат, сервер ищет такой домен/сертификат и отдает (если есть) его клиенту и потом начинается шифрованное соединение.
А вот если нет (когда заходим по ип) - то будет отдан сертификат из первого вхоста в конфиге и сайт с этого вхоста будет показан.

[Виктор Таран]

Владимир,
RFC 3546 TLS Extensions June 2003
В этом году толко настраивал с десяток серверов ни разу не заметил чтоб там что-то работало.
Все как было так и есть, никаких изменений , чудес не произошло, только что обновил сервак под максимум и проверил.

[Владимир]

Виктор Таран, Проведите простой экспиримент - возмите запустите tcpdump -n -A -v -i eth0 tcp and port 443 and host 66.96.149.32 (интерфейс подставте для вашего окружения) и сделайте curl https://habrahabr.com

в tcpdump вы увидите что после хендшейка клиент(curl) оптравляет пакет в котором указывает что ему нужен habrahabr.com
и только потом уже получает сертификат от сервера, соответственно до момента пока не был получен сертификат - шифрования небыло и там в открытом виде от клиента к серверу передавался запрашиваемый домен.
Поэтому ваша фраза которую я откоментировал выше не совсем верна.

[Виктор Таран]

Владимир, ок давайте
Так должен выглядеть сай 1nnm.ru
А так нет https://1nnm.ru/
- конфига для https в данный момент нет.
Мало того вместе с сертификатом берутся и настройки сайта, по сути отдаетя левый сайт, и как не сложн догадаться это конфиг сайта у которого ПЕрвого по списку есть ключи 5job.ru
ТАк что там tcpcupm работае это здорово но нифига не помогает.

[Yan Vetrov]

Виктор Таран, спасибо большое, решение помогло.

[Виктор Таран]

спасибо в карман не положешь, даешь "решено"