hyp*_*not 2 browser https windows-xp nginx sni
使用仅限SNI的证书(Let's Encrypt,CloudFlare free)时,使用带有Chrome或IE的Windows XP的用户无法连接到您的站点.Firefox上的Firefox运行良好.
我想测试用户代理是XP上的Chrome还是XP上的IE(或者不是Firefox的XP上的任何东西),并将它们重定向到HTTP警告页面,告诉他们在XP上使用Firefox.
你会如何在nginx下做到这一点?
目前,我正在使用此块将所有http链接重定向到https.
if ($http_cf_visitor ~ '{"scheme":"http"}') {
return 301 https://$server_name$request_uri;
}
如何将上述用户代理检测结合到此块中,以便将非SNI用户重定向到仅HTTP警告页面?
您可以使用nginx用户代理映射来检测和重定向非SNI客户端(XP上的IE和Chrome浏览器).只需将其添加到站点配置文件(服务器块外部):
map $http_user_agent $is_xp {
default 0;
"~Windows NT 5.1" 1;
}
map $http_user_agent $whitelist_browser {
default 0;
"~Firefox" 1;
}
map $is_xp$whitelist_browser $no_sni {
default 0;
"10" 1;
}
第一张地图在用户代理字符串(= Windows XP)中检查Winhdows NT 5.1,但由于Firefox不依赖于XP的SSL实现并且拥有自己的带有SNI支持的lib,我们应该更好地将此浏览器列入白名单,即使在XP上也是如此第二张地图呢.第三张地图将这两个条件结合在一起.
所以现在我们可以在服务器块中使用它来做我们想要的事情:
if ($no_sni = 1) {
# do whatever (redirect...???)
}
但!!!此解决方案仅适用于直接在地址栏中键入URL的访问者(浏览器默认为HTTP).想象一下谷歌(或谁)抓取您的网站,将其检测为HTTPS(僵尸的用户代理不是XP或IE),当然将其编入HTTPS,它会在搜索结果页面上显示为HTTPS!因此,使用NON-SNI客户端的用户将从搜索中直接重定向到HTTPS,您再次遇到麻烦.
唯一的解决方法是从CA(letsencrypt,...)请求一个大型证书,将您服务器上托管的所有域列为SAN,并将此证书用作默认SSL证书.因此,如果任何非sni客户端访问您的服务器,它将获得所有域的通用证书,一切都会好的.
| 归档时间: |
|
| 查看次数: |
1053 次 |
| 最近记录: |