防止CDN背后的负载均衡(LB)/服务器通过HTTPS曝露真实IP

如何防止CDN背后的负载均衡(LB)/服务器域名通过HTTPS曝露真实IP？这是一个很容易被站长忽略的问题。
通常服务器前端有负载均衡进行分流，再前面有CDN进行缓存，真实IP一般隐藏。因为真实IP曝露了，服务器的风险很大。同样，服务器前面的LB的IP也决不能曝露（如果服务器前面有LB的话） 。
HTTPS是目前任何服务器都会配置的。但如果不做防范，IP会直接曝露。

划重点：
1.域名直接解析到服务器=裸奔， IP会直接曝露
2.域名解析到LB= 裸奔， LB的IP会直接曝露
3.域名解析到CDN，隐藏IP，但HTTPS有曝露IP的风险。（其他曝露 IP的风险可能有SMTP自动回信等各种方式，这里不做讨论）

在说 HTTPS 曝露IP 之前，我先说一个公司，这家公司就是 censys.io
这家公司做的事情就是开足服务器马力在网上不断地自动化扫端口，什么80啊，443啊，FTP啊只要是开的都会扫，他不但扫，还通过端口的信息与域名建立关联，大数据关联域名、IP、端口、服务等动态即时及历史关系。
OK，这些机器扫啊扫的，回到我们这里来看，他们是不是建立了IP和域名的关系数据了，他们是通过IP扫的数据，但开放出的查询引擎是不是可以通过域名来倒查IP！这就很可怕，任何人都可以查！

那么域名关联信息是怎么样泄露的呢？

HTTPS是罪魁祸首。如何泄露的呢？
当我们在服务器或是LB上配置好HTTPS后，大家用 https://IP (服务器或LB的IP)访问一下，然后再看一下证书，是不是就明白了。IP——域名。

所以我们要做的就是不让他对应或是让他假对应。所以我们应该在服务器或LB上为这个真实IP专门配一个完全和域名无关的HTTPS数字证书。具体如何配置很简单，无非就是再开一个主机头为这个IP的站点并配无关证书之类的，LB上就443监测时判断这个IP后到另一个采用无关证书的域名等，这里就不展开了。

再重复一下：曝露真实IP，问题很严重！

原创不易，转发请说明来源 https://www.rvvr.cn/wp/2021/09/26/cdn/。