HTTP-2-下使用相同证书子域名-SSL配置不一致导致-421-错误

51次阅读

共计 505 个字符,预计需要花费 2 分钟才能阅读完成。

这个情况真的很罕见,网上资料很少,这边记录一下,方便以后遇到的人解决。

情况是这样的:
有如下子域名:abc.test.gov、def.test.gov,两个域名都启用了 HTTP2,使用同一个通配符证书 *.test.gov,绑定在同一个服务器上。

abc.test.gov 有一个链接指向 def.test.gov,用户点击进去之后浏览器报错:(iOS Safari、Android Webview 会,Chrome Mac 版正常)

HTTP/2 421 Misdirected Request
The client needs a new connection for this request as the requested host name does not match the Server Name Indication (SNI) in use for this connection.

原因查证如下:
由于启用 HTTP2,浏览器默认在同证书、同 IP 的情况下会采取连接复用。但两边个 VirtualHost 的 SSL 配置不同,def.test.gov(配置了双向认证 SSLVerify require),会导致服务器拒绝浏览器的多路复用请求,报 421。

这种情况在 HTTP1.1 下不存在

正文完
 0