高防和Web防火墙的SNI问题排查方法

概述

问题描述

1. Android浏览器、APP或Windows平台浏览器访问HTTPS网站提示 服务器证书不可信/无法访问/服务器证书不是源站的证书，同时iOS客户端访问正常。常见报错信息如下。

   
2. 证书信息如下。

   
3. 用户的多个HTTPS网站前接入了反向代理，在接入WAF/高防后导致网站不可访问，而绕过WAF/高防可以访问。

问题原因

解决方案

1. 在客户端抓包，查看TLS握手的数据包是否有SNI扩展。
2. 在反向代理服务器上，分别抓取客户端经过WAF/高防访问和绕过WAF/高防访问的数据包，查看是否有SNI扩展，如果前者没有而后者有，则是Tengine不支持SNI功能导致。
3. Tengine短期内无支持SNI计划，建议用户使用HTTP回源。

相关文档

• SNI 兼容性导致 HTTPS 访问异常（服务器证书不可信）

适用于

• Web 应用防火墙