在 nginx 未指定其 SSL 连接监听端口的 default_server 时，nginx 会默认发送第一张 SSL 证书给客户端——即使客户端给的 SNI 为空或不属于本机任何一个配置了的 server_name，这会导致因证书被扫描器探知而导致某种意义上的信息泄露。在 nginx 1.19.4 及 OpenSSL 1.1.1i 之前的解决方案一般是在 default_server 里指定一个自签的证书，但这样不够美观（个人的 OCD 症状）。好消息是，现在 nginx 可以直接在 server 块内设 …