儘管擁有最新的 nginx 和 OpenSSL,即使在我的設定檔中啟用了 TLS1.3,我的伺服器(www.baldeonline.com 供參考)也不會產生 TLS1.3。此外,我的 nginx 實例是在安裝了 OpenSSL 1.1.1-pre9 的情況下編譯的。
$ nginx -V返回:
nginx version: nginx/1.15.2
built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
built with OpenSSL 1.1.1-pre9 (beta) 21 Aug 2018
到目前為止,我看到的大多數教程都包含CloudFlare,因此我懷疑它在這種情況下可以作為伺服器和CloudFlare 之間的TLS1.2 以及CloudFlare 和客戶端之間的TLS1.3 工作,儘管我沒有任何具體建議。
編輯
正如帕特里克所提到的,運行命令:
$ openssl s_client -connect www.baldeonline.com:443
顯示 TLS1.3 已啟用。當瀏覽器更新以完全支援最終的 TLS1.3(2018 年 8 月 15 日)標準時,TLS1.3 應與瀏覽器相容,而不僅僅是標準草案。
對於那些有興趣的人:
https://wiki.openssl.org/index.php/TLS1.3#Current_status_of_the_TLSv1.3_standard
儘管最新的 1.1.1 版本支援最終標準版本,但支援 TLSv1.3 的其他應用程式可能仍在使用較舊的草案版本。這是互通性問題的常見根源。如果支援不同 TLSv1.3 草案版本的兩個對等方嘗試進行通信,那麼它們將回退到 TLSv1.2。
總而言之:如果您希望 TLS1.3 正常運作現在在草案 28 中使用 OpenSSL 1.1.1-pre8 https://fearby.com/article/enabling-tls-1-3-ssl-on-a-nginx-website-on-an-ubuntu-16-04-server-that-is-using-cloudflare/ 跳到“更新 Open SSL 的時間”並使用https://www.openssl.org/source/openssl-1.1.1-pre8.tar.gz代替 git 克隆。
答案1
在 OpenSSL 1.1.1-pre9 中,除 TLS1.3 最終版本外的所有草案支援均已刪除。但是,瀏覽器僅支援草稿版本。