SNI 白名单

更新时间:
复制 MD 格式

边缘安全加速 ESA的 SNI(Server Name Indication)白名单是一种安全防护功能,开启后将对 SSL/TLS 握手时使用的 SNI 信息与 HTTP 请求头中的 Host 域名进行一致性校验。两者不匹配时,请求将被拒绝。通过配置白名单,指定允许跳过校验的域名,可有效防止域名被恶意利用,避免域前置(Domain Fronting)漏洞。

背景信息

域前置是一种利用 HTTPS 连接中 SNI 与 Host 头不一致来隐藏真实目标域名的技术,常被用于绕过网络审查或进行恶意攻击。开启 SNI 白名单后,ESA会强制校验 SNI 与 Host 的一致性,仅放行白名单内的域名,从根本上阻断此类攻击路径。

注意事项

  • 开启 SNI 白名单前,请确认业务中不存在合法的 SNI 与 Host 不一致的请求场景,否则可能导致正常请求被拦截。

  • 如果业务中使用了自定义域名回源、代理转发等特殊架构,建议将相关域名加入白名单后再开启功能。

  • 当站点处于版本管理的只读状态时,SNI 白名单配置不可编辑。

操作步骤

开启 SNI 白名单

  1. ESA控制台选择站点管理,在站点列单击目标站点。

  2. 在左侧导航栏,选择SSL/TLS > 边缘证书

  3. 单击SNI 白名单面板右上角的配置按钮进入编辑态。

  4. 开启状态开关。

  5. 白名单输入框中,输入需要跳过 SNI 与 Host 一致性校验的域名。

    • 支持输入域名前缀(如 www),系统会自动补全为完整域名(如 www.example.com)。

  6. 单击确定,保存配置。

配置项说明

配置项

说明

状态

控制 SNI 白名单功能的开启与关闭。开启后,ESA将对非白名单域名的 SNI 与 Host 进行一致性校验,不匹配的请求将被拒绝;关闭后,不再进行一致性校验。

白名单

允许跳过 SNI 与 Host 一致性校验的域名列表。白名单中的域名在请求时将跳过校验。