SNI引起的HTTPS证书不可信问题排查

在Web应用中，SSL/TLS协议用于保护客户端与服务器之间的通信安全。SNI（Server Name Indication）是TLS协议中的一个扩展，用于在握手过程中通知服务器客户端请求的域名。然而，一些老旧客户端或特定环境下的客户端可能不支持SNI，导致与Web应用防火墙（WAF）之间的通信出现问题。当使用不支持SNI的客户端访问WAF的网站时，WAF无法识别客户端请求的域名，因此无法加载对应的虚拟主机证书，只能使用内置的默认证书与客户端进行握手。这时，客户端浏览器会提示“服务器证书不可信”。

要解决因SNI引起的HTTPS证书不可信问题，首先需要确定哪些客户端不支持SNI。可以通过抓取SSL握手过程中的报文来判断。以下是一个简单的步骤：

1. 使用支持SNI的浏览器访问目标网站，并启用开发者工具的网络面板。
2. 在网络面板中，找到与网站域名相关的SSL握手请求。
3. 查看请求的头部信息，查找“Client Hello”报文。
4. 在“Client Hello”报文中搜索“SNI”扩展字段，查看是否存在该字段。
5. 如果找不到“SNI”扩展字段，则表示该客户端不支持SNI。

一旦确定了不支持SNI的客户端，可以采取以下措施来解决证书不可信的问题：

1. 升级客户端：对于不支持SNI的客户端，最好的解决方案是升级到最新版本的浏览器或操作系统，以确保其支持SNI和其他现代安全协议。
2. 使用备用证书：为WAF配置一个备用证书，以便在遇到不支持SNI的客户端时使用。这样可以在不牺牲安全性的情况下提供基本的通信加密。
3. 使用HTTP重定向：对于不支持SNI的客户端，可以配置WAF使用HTTP重定向将请求重定向到一个支持SNI的域名或备用域名。这样，不支持SNI的客户端将通过HTTP协议与支持SNI的服务器进行通信。
4. 配置WAF的SSL/TLS协议：确保WAF使用的SSL/TLS协议版本是最新的，并禁用不安全的协议版本。这有助于提高与客户端之间的通信安全性。
5. 考虑使用代理服务器：对于一些特定的客户端或环境，可以考虑使用代理服务器来转发请求。代理服务器可以识别客户端请求的域名并加载相应的证书，从而解决证书不可信的问题。

总之，解决因SNI引起的HTTPS证书不可信问题需要仔细排查不支持SNI的客户端，并采取适当的措施来确保通信的安全性和可靠性。通过升级客户端、配置备用证书、使用HTTP重定向、更新SSL/TLS协议以及使用代理服务器等方法，可以有效地解决证书不可信的问题，并保护客户端与服务器之间的通信安全。