高防和Web防火墙的SNI问题排查方法

高防和Web防火墙的SNI问题排查方法

更新时间:2018-06-28 14:50:27

概述

本文主要介绍高防和Web防火墙的SNI问题排查方法。

问题描述

  1. Android浏览器、APP或Windows平台浏览器访问HTTPS网站提示 服务器证书不可信/无法访问/服务器证书不是源站的证书,同时iOS客户端访问正常。常见报错信息如下。
  2. 证书信息如下。
  3. 用户的多个HTTPS网站前接入了反向代理,在接入WAF/高防后导致网站不可访问,而绕过WAF/高防可以访问。

问题原因

客户端不支持SNI,需要升级或做第三方适配。

解决方案

  1. 在客户端抓包,查看TLS握手的数据包是否有SNI扩展。
  2. 在反向代理服务器上,分别抓取客户端经过WAF/高防访问和绕过WAF/高防访问的数据包,查看是否有SNI扩展,如果前者没有而后者有,则是Tengine不支持SNI功能导致。
  3. Tengine短期内无支持SNI计划,建议用户使用HTTP回源。

相关文档

适用于

  • Web 应用防火墙