Stabiler machen

2026-06-06 18:08:24 +02:00
parent 263e9b4565
commit d83cf32bfa
4 changed files with 34 additions and 6 deletions
--- a/connect-proxies.sh
+++ b/connect-proxies.sh
@@ -40,6 +40,23 @@ map \$http_upgrade \$connection_upgrade {
 $RESOLVER_LINE
 NGINX

+# 1b) Default-Server für 443: weist unbekanntes/leeres SNI sauber ab,
+#     statt es an den alphabetisch ersten vHost zu "vererben" (Anti-Leak).
+#     Greift auch dann, wenn einer Domain das Zertifikat fehlt.
+DEFAULT_443_FILE="$CONF_DIR/00-default-server.generated.conf"
+cat > "$DEFAULT_443_FILE" <<'NGINX'
+# Automatisch generiert – nicht editieren
+# Fängt alle HTTPS-Verbindungen ab, deren SNI auf keinen echten vHost passt,
+# und lehnt den TLS-Handshake ab. So landet eine unbekannte/zertifikatslose
+# Domain NIE still beim ersten vHost. Braucht per ssl_reject_handshake
+# bewusst KEIN eigenes Zertifikat.
+server {
+    listen 443 ssl http2 default_server;
+    listen [::]:443 ssl http2 default_server;
+    ssl_reject_handshake on;
+}
+NGINX
+
 # 2) Alte generierte Confs entfernen
 rm -f "$CONF_DIR/"*"$HTTPS_SUFFIX" 2>/dev/null || true
 rm -f "$CONF_DIR/"*"$HTTP_REDIRECT_SUFFIX" 2>/dev/null || true