此问题中描述了该问题: https://github.com/mholt/caddy/issues/1303
我想解决此信息泄漏问题(使攻击者有机会枚举我的Web服务器上服务的所有不同主机)。
有人知道如何修复或解决它吗?
答案 0 :(得分:0)
您可以简单地指定对任何不存在的域的默认响应。
:443 {
root c:\websites\nowebsite\
tls self_signed
}
只要您收到对原本不存在的域的请求,此服务便会提供。
但是值得注意的是,ALL允许加密证书在证书透明度日志中在线发布。