Nginx Proxy Manager 中 ERR_SSL_UNRECOGNIZED_NAME_ALERT 错误分析与解决方案

问题背景

近期，许多使用 Nginx Proxy Manager (NPM) 的用户报告了在 Chromium 内核浏览器中出现的 ERR_SSL_UNRECOGNIZED_NAME_ALERT 错误。该问题表现为访问通过 NPM 代理的 HTTPS 站点时，浏览器会突然显示 SSL 证书识别错误，而同一时间 Firefox 等非 Chromium 浏览器却能正常访问。

问题现象分析

根据用户反馈，该问题具有以下特征：

1. 浏览器特异性：仅影响 Chromium 内核浏览器（Chrome、Edge 等），Firefox 不受影响
2. 间歇性出现：有时刷新页面可以暂时恢复访问，但不久后问题重现
3. 网络环境相关：主要出现在本地网络环境中，通过外部网络访问通常正常
4. 证书无关性：使用 Let's Encrypt 通配符证书、域名证书或商业证书（如 RapidSSL）都会出现此问题

根本原因探究

经过技术分析，该问题可能由多种因素共同导致：

1. IPv6 DNS 解析干扰

在配置了 Pi-hole 等本地 DNS 服务器的环境中，系统可能同时返回 IPv4 和 IPv6 地址。当本地 DNS 配置不当时，浏览器可能获取到错误的 IPv6 地址（如 CDN 隧道地址），导致 SSL 证书验证失败。

2. 浏览器 HSTS 机制影响

Chromium 浏览器严格的 HSTS（HTTP Strict Transport Security）策略可能导致证书预取和缓存行为异常。当内部和外部证书不一致时，浏览器可能错误地应用了缓存的证书信息。

3. 分域 DNS 配置问题

在分域 DNS（Split DNS）环境中，内部和外部解析结果不一致可能导致证书验证混乱。特别是当某些子域名仅配置了外部解析时，可能影响浏览器对相关域名的证书验证行为。

解决方案

方案一：禁用 IPv6 DNS 解析（针对 Pi-hole 用户）

对于使用 Pi-hole 作为本地 DNS 服务器的用户，可以通过以下步骤解决问题：

1. 创建或编辑 /etc/dnsmasq.d/99-disable-ipv6.conf 文件
2. 添加以下内容：

   address=/yourdomain.com/
   

3. 重启 Pi-hole 服务

此配置强制所有对该域名的查询仅返回 IPv4 地址，避免 IPv6 解析带来的干扰。

方案二：调整 NPM 高级配置

在 Nginx Proxy Manager 的代理主机高级配置中添加以下指令：

proxy_ssl_name $host;
proxy_ssl_server_name on;

这些指令确保 SSL 握手时正确传递主机名信息。

方案三：统一内外网证书

确保内部和外部访问使用相同的证书策略。如果使用 Let's Encrypt 证书，可以考虑：

1. 为内部访问也配置有效的公网证书
2. 或者为外部访问使用与内部相同的证书颁发机构

方案四：检查并完善分域 DNS 配置

确保所有相关的子域名在内部 DNS 中都有正确配置，避免部分域名解析依赖外部 DNS 的情况。特别是：

1. 检查所有子域名的解析记录
2. 确保 IPv4 和 IPv6 解析结果一致
3. 验证 DNS 查询是否按预期返回结果

预防措施

1. 定期检查证书配置：确保证书包含所有需要的主机名，且未临近过期
2. 监控 DNS 解析：定期验证本地和外部 DNS 解析结果是否一致
3. 浏览器缓存管理：在测试配置变更时，使用隐身模式或清除浏览器缓存
4. 日志分析：检查 NPM 和浏览器开发者工具中的详细错误信息，帮助定位问题

总结

Nginx Proxy Manager 中的 ERR_SSL_UNRECOGNIZED_NAME_ALERT 错误通常不是由单一因素引起，而是网络配置、DNS 解析和浏览器安全策略共同作用的结果。通过系统性地检查 DNS 配置、统一证书策略和调整 NPM 参数，大多数情况下可以解决这一问题。对于运维人员来说，建立规范的证书管理和 DNS 配置流程是预防此类问题的关键。