Проблема с self-steal FakeTLS на wildcard-доменах

[roman901]

Использую в качестве домена для прикрытия, допустим, домен a.site.ru. У сервера этого сайта есть сертификат на site.ru,*.site.ru - и при открытии https://proxy:443 трафик идёт не на a.site.ru, а на default https domain в nginx (вдобавок, в access-логе мусор по типу "\x05\x02\x00\x02", "\x05\x01\x00" вместо "GET ..."). Поменять домен для прикрытия уже не выйдет, использовать не-wildcard сертификат тоже возможности нет :(

[9seconds]

Если я правильно понял проблему, то здесь достаточно повесить a.site.ru на другой порт, и проксировать на него? Кажется, здесь было что-то похожее: #370

[roman901]

Там всё же другая ситуация.
Более подробно про мою:

1. Есть a.site.ru, который хостится на другом сервере.
2. Есть tg_proxy в ee-режиме, с доменом a.site.ru (т.е. faketls). он единственный занимает 443 порт.
   Я ожидаю, что при открытии https://proxy:443 мне выдастся "сертификат не для этого домена" и mtg спроксирует коннект к a.site.ru. По факту - да, оно проксирует на нужную машину, но nginx там попадает в default server, а не в a.site.ru.
   Могу лишь предположить, что mtg при попытке проксирования не передает SNI или что-то подобное.