我们的微信小程序（包括开发者工具和真机体验版）无法通过HTTPS访问后端API，一直报错 net::ERR_CONNECTION_RESET。但奇怪的是，直接通过浏览器访问同一个HTTPS地址是完全可以的，将小程序改为通过HTTP直连服务器IP也能正常通信。

我们已经确认正常的部分：

1. 服务器和网络基础是好的：服务器的443端口可以正常连通，DNS解析正确，Nginx服务和后端应用都运行正常。
2. SSL证书有效：使用了Let‘s Encrypt证书，在浏览器中测试HTTPS访问完全正常，证书验证通过，且支持TLS 1.2/1.3。
3. 客户端配置已检查：微信开发者工具中已正确设置为“直连网络”并勾选了“不校验合法域名”。

关键测试现象（矛盾点）：

为了排查，我们对比了不同客户端的访问结果：

• 浏览器（Chrome/Edge）：✅ 访问 https://我的域名/api/health 成功，返回正常JSON数据。
• 微信开发者工具：❌ 访问同样地址失败，提示 net::ERR_CONNECTION_RESET。
• 
• 
• Windows命令行工具：
• PowerShell 5.1 (使用旧版.NET框架)：❌ 完全失败，提示连接关闭。
• curl.exe (使用Windows Schannel)：⚠️ 结果不稳定，有时成功，有时同样报“Connection was reset”，显示在TLS握手阶段失败。
• IP直连方案：✅ 将小程序请求地址改为 http://服务器IP:端口 后，一切正常。

我们已经尝试过的解决方案（均无效）：

1. 优化服务器SSL配置：调整了Nginx的TLS协议、加密套件，关闭了服务器首选加密套件等。
2. 更换SSL证书：重新申请并部署了Let‘s Encrypt证书。
3. 接入CDN：尝试配置了腾讯云CDN（由于域名后缀问题，只能使用境外节点）。CDN后浏览器访问依然成功，但微信小程序依然失败。
4. 排除网络环境问题：在家庭宽带、手机热点等不同网络下测试，问题一致。

当前分析和疑问：

基于以上测试，问题似乎与特定客户端（尤其是微信开发者工具和某些使用旧TLS库的工具）的TLS握手行为有关。同时，我们的API域名使用的是 .icu 后缀。

最想请各路大佬帮忙分析一下：

1. 微信小程序（特别是体验版）在访问未备案的域名时，具体会遇到什么限制？ERR_CONNECTION_RESET 错误是否与此直接相关？
2. 从测试结果看，这到底是微信对未备案域名的主动拦截，还是服务器与微信客户端之间存在的 TLS协议/实现兼容性问题？
3. 在开发测试阶段，除了必须使用已备案域名并配置到合法域名列表外，是否还有其他可行的技术方案或排查方向？