A pesar de tener el último nginx y OpenSSL, no genera TLS1.3 en mi servidor (www.baldeonline.com como referencia) a pesar de que está habilitado en mis archivos de configuración. Además, mi instancia de nginx se compiló con OpenSSL 1.1.1-pre9 instalado.
$ nginx -Vdevoluciones:
nginx version: nginx/1.15.2
built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
built with OpenSSL 1.1.1-pre9 (beta) 21 Aug 2018
La mayoría de los tutoriales que he visto hasta ahora incluyen CloudFlare, por lo que sospecho que funciona en ese caso como TLS1.2 entre el Servidor y CloudFlare y luego TLS1.3 entre CloudFlare y el Cliente, aunque no tengo nada concreto para sugerir esto.
EDITAR
Como mencionó Patrick, ejecutando el comando:
$ openssl s_client -connect www.baldeonline.com:443
muestra que TLS1.3 está habilitado. TLS1.3 debería funcionar con los navegadores cuando se actualicen para que sean totalmente compatibles con el estándar TLS1.3 final (15 de agosto de 2018), no solo con los estándares preliminares.
Para los interesados:
https://wiki.openssl.org/index.php/TLS1.3#Current_status_of_the_TLSv1.3_standard
Aunque las últimas versiones 1.1.1 admiten la versión estándar final, es posible que otras aplicaciones compatibles con TLSv1.3 aún utilicen versiones preliminares anteriores. Esta es una fuente común de problemas de interoperabilidad. Si dos pares que admiten diferentes versiones preliminares de TLSv1.3 intentan comunicarse, recurrirán a TLSv1.2.
TLDR:Si quieres que TLS1.3 funcioneahoracon el borrador 28 use OpenSSL 1.1.1-pre8 https://fearby.com/article/enabling-tls-1-3-ssl-on-a-nginx-website-on-an-ubuntu-16-04-server-that-is-using-cloudflare/ Vaya a "Hora de actualizar Open SSL" y utilicehttps://www.openssl.org/source/openssl-1.1.1-pre8.tar.gzen lugar del clon de git.
Respuesta1
En OpenSSL 1.1.1-pre9, se eliminó todo el soporte preliminar excepto la versión final TLS1.3. Sin embargo, los navegadores sólo admiten versiones borrador.