ssl_certificate 不支持变量解析，因为是在 config 阶段就读取了证书文件，没有运行时的动态行为。

据我所知，目前开源的项目里能达到你要的效果的只有 OpenResty 的 [ssl_certificate_by_lua_block]( https://github.com/openresty/lua-nginx-module#ssl_certificate_by_lua_block)，可以做到同一个 server 根据 SNI server_name 使用不同的证书。

@ryd994 然而并不是，Google Apps 的管理员最起码是可以在用户不知情的情况下访问用户邮件数据的，详见：

https://developers.google.com/admin-sdk/email-audit/

不仅是你当前 Inbox 的内容，甚至已经删除的 Draft 和 Inbox 都可以下载得到，而且用户不会得到任何的通知。

当然了，如果只用 GDrive 而且只存加密数据那也无所谓了，最大风险也就是某天突然无法访问了。

IBM 表示这都是人家 Mainframe 60 年代玩剩下的东西。

@flyingfz 正解，这么简单的需求用 OpenResty 几行 Lua 代码就搞定了，可以在握手前就断开连接，也不会发送证书。

https://github.com/openresty/lua-nginx-module#ssl_certificate_by_lua_block
https://github.com/openresty/lua-resty-core/blob/master/lib/ngx/ssl.md#raw_client_addr

对的。IPv6 使用 SLAAC 才会启用 Privacy Extensions，而 SLAAC 只有在 /64 或者更大的 block 上才可以使用。如果小于 /64 则只能走 DHCPv6，这种情况下 Privacy Extensions 不会（也没有必要）启用。

@s82kd92l 别的不知道，JunOS 早都支持 IPv6 Router Advertisement Guard 和 DHCPv6 Snooping 了所以就算 IPv6 环境下也可以防范类似攻击。

上企业级三层交换，将所有客户端的端口设为 DHCP untrusted。这种攻击对于三层交换机处理起来都是小菜一碟。不仅会过滤而且还会记录具体哪个端口发的包的日志。

比如 Juniper 对此的文档介绍：
https://www.juniper.net/documentation/en_US/junos/topics/example/port-security-protect-from-rogue-dhcp-servers.html

打开看一眼就知道了，就是用汇编实现的：

https://golang.org/src/runtime/asm_amd64.s#L2174

不太正常，有没有开 -j 选项？

你这么做，人家 D 还是成功的达到目的了。

Cisco ASA 带 Cisco Anychoonect，Juniper SRX 带 Pulse Secure 不过似乎都超过了预算…

路由交换都上 Juniper，Cisco，绝对企业级，绝对不卡。

楼上正解，只能说明你的第一跳回复 ICMP 没这么快而已，并不代表实际延迟高。

Shibboleth

burst = 1 肯定不行，建议跟 rate 一致，设为 100。

NGINX 的时间戳精度只有 1ms，对于 1ms 之内的请求看起来频率都是无穷大，所以 burst 是必须要有的。这块可以参考令牌桶算法的实现原理来理解。

需要配置 burst，否则在打开的一瞬间，rate 看起来是无穷大，就被拒了。

用 https://github.com/openresty/lua-nginx-module#ngxreqget_post_args。