Несмотря на то, что у меня есть последняя версия nginx и OpenSSL, на моем сервере (www.baldeonline.com для справки) не реализован TLS1.3, хотя он включен в моих конфигурационных файлах. Более того, мой экземпляр nginx был скомпилирован с установленным OpenSSL 1.1.1-pre9.
$ nginx -Vвозвращает:
nginx version: nginx/1.15.2
built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
built with OpenSSL 1.1.1-pre9 (beta) 21 Aug 2018
Большинство руководств, которые я видел до сих пор, включают CloudFlare, поэтому я подозреваю, что в этом случае он работает как TLS1.2 между сервером и CloudFlare, а затем TLS1.3 между CloudFlare и клиентом, хотя у меня нет конкретных данных, чтобы утверждать это.
РЕДАКТИРОВАТЬ
Как упомянул Патрик, выполнение команды:
$ openssl s_client -connect www.baldeonline.com:443
показывает, что TLS1.3 включен. TLS1.3 должен работать с браузерами, когда они будут обновлены для полной поддержки окончательного стандарта TLS1.3 (15 августа 2018 г.), а не только проектов стандартов.
Для интересующихся:
https://wiki.openssl.org/index.php/TLS1.3#Текущий_статус_стандарта_TLSv1.3
Хотя последние версии 1.1.1 поддерживают финальную стандартную версию, другие приложения, поддерживающие TLSv1.3, могут по-прежнему использовать более старые черновые версии. Это распространенный источник проблем взаимодействия. Если два одноранговых узла, поддерживающих разные черновые версии TLSv1.3, попытаются связаться, они вернутся к TLSv1.2.
Краткий обзор:Если вы хотите, чтобы TLS1.3 работалсейчасс проектом 28 используйте OpenSSL 1.1.1-pre8 https://fearby.com/article/enabling-tls-1-3-ssl-on-a-nginx-website-on-an-ubuntu-16-04-server-that-is-using-cloudflare/ Перейдите к разделу «Время обновить Open SSL» и используйтеhttps://www.openssl.org/source/openssl-1.1.1-pre8.tar.gzвместо клона git.
решение1
В OpenSSL 1.1.1-pre9 вся поддержка черновиков, кроме финальной версии TLS1.3, была удалена. Однако браузеры поддерживают только черновые версии.