nginx - 将非 SNI 浏览器重定向到 nginx 中的仅 HTTP 警告页面

Question

使用仅限 SNI 的证书(Let's Encrypt、CloudFlare 免费)时，使用 Windows XP 和 Chrome 或 IE 的用户为 not able to connect to your site 。 XP 上的 Firefox 运行良好。

我想测试用户代理是否是 XP 上的 Chrome 或 XP 上的 IE(或 XP 上非 Firefox 的任何东西)，并将它们重定向到 HTTP 警告页面，告诉他们在 XP 上使用 Firefox。

在 nginx 下你会如何做到这一点？

目前，我正在使用此 block 将所有 http 链接重定向到 https。

if ($http_cf_visitor ~ '{"scheme":"http"}') {
    return 301 https://$server_name$request_uri;
}

如何将上述用户代理检测合并到此 block 中，以便将非 SNI 用户重定向到仅 HTTP 警告页面？

Answer 1

您可以使用 nginx 用户代理映射来检测和重定向非 SNI 客户端(XP 上的 IE 和 Chrome 浏览器)。只需将其放入站点配置文件(服务器 block 之外):

map $http_user_agent $is_xp {
    default 0;
    "~Windows NT 5.1" 1;
}

map $http_user_agent $whitelist_browser {
    default 0;
    "~Firefox" 1;
}

map $is_xp$whitelist_browser $no_sni {
    default 0;
    "10" 1;
}

第一个 map 在用户代理字符串(=Windows XP)中检查 Winhdows NT 5.1，但由于 Firefox 不依赖于 XP 的 SSL 实现，并且有自己的支持 SNI 的库，因此我们应该更好地将该浏览器列入白名单，即使在 XP 上也是如此这就是第二张 map 的作用。第三张 map 只是将这两个条件结合在一起。

现在我们可以在服务器 block 中使用它来执行我们想要的操作:

    if ($no_sni = 1) {
        # do whatever (redirect...???)
    }

但是!!! 此解决方案仅适用于直接在地址栏输入 URL 的访问者(浏览器默认为 HTTP)。想象一下这样的情况:Google(或任何人)抓取您的网站，将其检测为 HTTPS(机器人的用户代理不是 XP 或 IE)，当然将其索引为 HTTPS，并且会在搜索结果中将其显示为 HTTPS页!因此，使用非 SNI 客户端的用户将被直接从搜索重定向到 HTTPS，您又遇到麻烦了。

唯一的解决方法是向 CA 请求一个大型证书(letsencrypt，...)，并将服务器上托管的所有域列为 SAN，并使用此证书作为默认 SSL 证书。因此，如果任何非 sni 客户端访问您的服务器，它将获得包含所有域的通用证书，一切都会正常。