TLSv1 / SNI可以被networking阻断吗? (路由器,防火墙等)

我们的网站通过内容交付networking(AWS CloudFront)提供静态内容,该networkingconfiguration为响应多个CNAME,并为这些主机名使用SSL通配符证书。 由于CDN可以服务于来自相同IP地址的许多不同的虚拟主机,因此客户端需要SNI支持。

我们很清楚一些操作系统/浏览器组合不支持SNI ,所以我们基于User-Agent头实现了对http的回退。

然而,一些客户反馈说,内容没有被送达。 似乎没有哪种浏览器或操作系统出现问题,例如现代Windows上的现代Chrome会引发ERR_CONNECTION_CLOSED 。 另外,整个办公室也会遇到同样的问题,所以有一个强烈的迹象表明,这个问题来自于networking设置而不是个人客户。 当我们转向非SNI解决scheme时,问题就消失了。

那么,我的问题是,如果networking中的其他元素可以阻止TLSv1和/或SNI? 网关,路由器,代理服务器,VPN或其他任何可能在networking设置中find的东西是否可以以某种方式防止TLSv1 / SNI工作?

服务器问题集锦,包括 Linux(Ubuntu, Centos,Debian等)和Windows Server服务器.