将非SNI浏览器重定向到nginx中的仅HTTP警告页面_Nginx_Browser_Https_Windows Xp_Sni

将非SNI浏览器重定向到nginx中的仅HTTP警告页面

nginx browser https

将非SNI浏览器重定向到nginx中的仅HTTP警告页面,nginx,browser,https,windows-xp,sni,Nginx,Browser,Https,Windows Xp,Sni,当使用仅限SNI的证书（让我们加密，无CloudFlare）时，将Windows XP与Chrome或IE一起使用的用户是安全的。XP上的Firefox运行良好我想测试用户代理是XP上的Chrome还是XP上的IE（或者XP上不是Firefox的任何东西），并将它们重定向到HTTP警告页面，告诉它们在XP上使用Firefox 在nginx下，您将如何做到这一点目前，我正在使用此块将所有http链接重定向到https if ($http_cf_visitor ~ '{"scheme":"htt

当使用仅限SNI的证书（让我们加密，无CloudFlare）时，将Windows XP与Chrome或IE一起使用的用户是安全的。XP上的Firefox运行良好

我想测试用户代理是XP上的Chrome还是XP上的IE（或者XP上不是Firefox的任何东西），并将它们重定向到HTTP警告页面，告诉它们在XP上使用Firefox

在nginx下，您将如何做到这一点

目前，我正在使用此块将所有http链接重定向到https

if ($http_cf_visitor ~ '{"scheme":"http"}') {
    return 301 https://$server_name$request_uri;
}

如何将上述用户代理检测组合到此块中，以便将非SNI用户重定向到仅限HTTP的警告页面？

您可以使用nginx用户代理映射来检测和重定向非SNI客户端（XP上的IE和Chrome浏览器）。只需将其放入站点配置文件（服务器块外部）：

第一个映射检查用户代理字符串（=Windows XP）中的Winhdows NT 5.1，但由于Firefox不依赖XP的SSL实现，并且有自己的支持SNI的库，因此即使在XP上，我们也应该最好将此浏览器列入白名单，而第二个映射就是这样做的。第三个映射只是将这两个条件组合在一起

现在我们可以在服务器块中使用它来做我们想要做的事情：

    if ($no_sni = 1) {
        # do whatever (redirect...???)
    }

但是此解决方案仅适用于直接在地址栏中键入URL的访问者（浏览器默认为HTTP）。想象一下谷歌（或其他人）抓取你们的网站，检测到它是HTTPS（机器人的用户代理不是XP或IE），当然将其索引为HTTPS，并在搜索结果页面上显示为HTTPS！所以，使用非SNI客户端的用户将从搜索直接重定向到HTTPS，您将再次遇到麻烦

唯一的解决方法是从CA（letsencrypt，…）请求一个大证书，其中服务器上托管的所有域都列为SAN，并将此证书用作默认SSL证书。因此，如果任何非sni客户端访问您的服务器，它将获得包含所有域的此通用证书，一切都将正常

if ($no_sni = 1) { # do whatever (redirect...???) }