HTTP/2 + SNI + ワイルドカード証明書ではまったわ。
HTTP/2 って接続が再利用されるから、www.example.com で CN:*.example.com なワイルドカード証明書を使っていたら、test.example.com で CN:test.example.com の証明書を使うとおかしくなるのね。