ClientHello 中是带着 SNI 的，所以其实握手阶段是可以知道访问的域名是否合法的，NGINX 1.19.4 中添加了一个新的配置项 ssl_reject_handshake 用于拒绝握手，也就不会提供证书。

首先需要获取到所有的中国IP段，有以下两种方法，第一种最简单，但是不够准确，第二种复杂一点但是准确度更高。 第一种：从APNIC获取所有中国IP段 第二种：需要注册登录maxmind并下载GeoLite Country:…