[研究]相同 ASP.NET WebForm 網站，走 HTTPS，本機測 HTTP/2，Internet 測 HTTP/1.1

[研究]同一個 ASP.NET WebForm 網站，走 HTTPS，本機測 HTTP/2，Internet 測 HTTP/1.1

2025-06-10

Windows Server 2019 Standard + IIS + ASP.NET + WebForm + HTTPS (不提供 HTTP)

********************************************************************************

ChatGPT 說：

1. IIS 支援 HTTP/2，但可能經過中間設備或未正確協商

若你從外部透過以下途徑連線網站，有可能協議被降級：

• 防火牆 / Proxy / SSL Offloading
• CDN（Cloudflare、Azure Front Door、F5 等）
• 負載平衡器 / Application Gateway

這些中介設備有些支援 HTTP/2、有些僅支援 HTTP/1.1，有些會對外說 HTTP/2，但與後端 IIS 通訊仍為 HTTP/1.1。

使用 curl -I --http2 https://你的網址 看實際協定協商狀況。

2. ALPN 協商失敗

HTTP/2 的協商是透過 TLS 擴展的 ALPN（Application-Layer Protocol Negotiation）完成的。若：

• 客戶端不支援 ALPN（例如：老版本 curl）
• TLS 設定過舊
• Cipher Suite 不支援

則會退回 HTTP/1.1。

********************************************************************************

kali :Linux 測試沒發現 WAF，但實際是有過 WAF 的。

┌──(kali㉿kali)-[~] └─$ wafw00f https://(遮蔽)/ ? ,. ( . ) . " __ ?? (" ) )' ,' ) . (` '` (___()'`; ??? .; ) ' (( (" ) ;(, (( ( ;) " )") /,___ /` _"., ,._'_.,)_(..,( . )_ _' )_') (. _..( ' ) \\ \\ |____|____|____|____|____|____|____|____|____| ~ WAFW00F : v2.3.1 ~ ~ Sniffing Web Application Firewalls since 2014 ~ [*] Checking https://(遮蔽)/ [+] Generic Detection results: [-] No WAF detected by the generic detection [~] Number of requests: 7 ┌──(kali㉿kali)-[~] └─$

(完)