Apesar de ter o nginx e OpenSSL mais recente, não produz TLS1.3 em meu servidor (www.baldeonline.com para referência), embora esteja habilitado em meus arquivos de configuração. Além disso, minha instância do nginx foi compilada com o OpenSSL 1.1.1-pre9 instalado.
$ nginx -Vretorna:
nginx version: nginx/1.15.2
built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
built with OpenSSL 1.1.1-pre9 (beta) 21 Aug 2018
A maioria dos tutoriais que vi até agora inclui CloudFlare, então suspeito que funcione nesse caso como TLS1.2 entre Server e CloudFlare e depois TLS1.3 entre CloudFlare e Client, embora não tenha nada concreto para sugerir isso.
EDITAR
Como Patrick mencionou, executando o comando:
$ openssl s_client -connect www.baldeonline.com:443
mostra que o TLS1.3 está habilitado. O TLS1.3 deve funcionar com navegadores quando eles forem atualizados para oferecer suporte total ao padrão TLS1.3 final (15 de agosto de 2018), não apenas aos padrões preliminares.
Para os interessados:
https://wiki.openssl.org/index.php/TLS1.3#Current_status_of_the_TLSv1.3_standard
Embora as versões 1.1.1 mais recentes suportem a versão padrão final, outros aplicativos que suportam TLSv1.3 ainda podem usar versões de rascunho mais antigas. Esta é uma fonte comum de problemas de interoperabilidade. Se dois pares que suportam diferentes versões de rascunho do TLSv1.3 tentarem se comunicar, eles retornarão ao TLSv1.2.
TLDR:Se você quiser que o TLS1.3 funcioneagoracom rascunho 28 use OpenSSL 1.1.1-pre8 https://fearby.com/article/enabling-tls-1-3-ssl-on-a-nginx-website-on-an-ubuntu-16-04-server-that-is-using-cloudflare/ Vá para "Hora de atualizar o Open SSL" e usehttps://www.openssl.org/source/openssl-1.1.1-pre8.tar.gzno lugar do clone git.
Responder1
No OpenSSL 1.1.1-pre9, todo o suporte preliminar, exceto a versão final do TLS1.3, foi removido. No entanto, os navegadores suportam apenas versões de rascunho.