看了《NGINX 配置避免 IP 访问时证书暴露域名》，了解到：

1. 虽然类似 Cloudflare 虽然这种可以隐藏真实 IP……；
2. 通过 IP 访问可以通过在 ClientHello 里面通过证书确定对应的域名；
3. Censys 在全网范围内通过访问所有 IP 来找对应的域名；

看来 ssl_reject_handshake 必须得开了。