phper 发表于 2018-3-27 20:15:33

lnmp1.5 无法配置tls1.3

如题,军哥帮忙看一下,给点排除建议,非常希望军哥有空帮忙看一下!我用lnmp1.5配置了https是没有问题得,这里只是想尝试一下tls1.3,但是始终是不行。
环境:Debian 8 +lnmp1.5
我的nginx相关配置参数如下(nginx -V):
root@debian:~# nginx -V
nginx version: nginx/1.13.9
built by gcc 4.9.2 (Debian 4.9.2-10+deb8u1)
built with OpenSSL 1.1.1-pre3 (beta) 20 Mar 2018
TLS SNI support enabled
configure arguments: --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_gzip_static_module --with-http_sub_module --with-stream --with-stream_ssl_module --with-ld-opt=-ljemalloc --with-openssl=/root/openssl-1.1.1-pre3 --with-openssl-opt='enable-tls1_3 enable-weak-ssl-ciphers' --add-module=/root/incubator-pagespeed-ngx-latest-stable --add-module=/root/ngx_brotli --add-module=/root/ngx_http_google_filter_module --add-module=/root/ngx_http_substitutions_filter_module --add-module=/root/headers-more-nginx-module-0.33


我的各个虚拟主机得配置文件也配置好了,都配置了TLSv1.3 ,ssl_ciphers
      ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
      ssl_prefer_server_ciphers on;
      ssl_ciphers TLS13-AES-128-GCM-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:!3DES:!MD5;


而且 Google浏览器打开了 Enabled (Draft 23) ,测试打开别人的支持tls1.3得站 开发者工具栏里面会显示tls1.3 。 浏览器是没有问题的是支持得。
我在想,是不是增加得扩展与openssl 最新版有冲突,不是很了解。
现在不知道具体问题出在哪里了。。。所以来问问军哥,希望能解疑答惑,谢谢!
PS: 只是自(。・∀・)ノ゙嗨一下,实在不行就算啦。。。

[ 本帖最后由 phper 于 2018-3-27 20:18 编辑 ]

licess 发表于 2018-3-28 09:16:33

tls1.3还不大了解

prouser 发表于 2018-5-20 21:36:16


前久测试过pre2,支持Draft23,Chrome是mac稳定版66,没特意设置,默认支持Draft23。
经验不多,看你的配置和参数应该是Draft版本不匹配的问题,pre3对应的是23+x了。总之,浏览器、Nginx的TLS1.3版本都需要一致,所以都在等正式版一统江湖。

另外给军哥提个建议,lnmp添加完vhost ssl之后,默认配置文件ssl_ciphers的前两项是:EECDH+CHACHA20和EECDH+CHACHA20-draft但lnmp1.4/1.5使用的openssl版本都是1.0.2x,并不支持chacha20系的cipher suites,需要打patch,查看命令:openssl ciphers所以可以去掉那2项,或者放到那些AES后面合理些,还能提高浏览器与服务端协商速度0.0..几毫秒?

[ 本帖最后由 prouser 于 2018-5-22 02:31 编辑 ]
页: [1]
查看完整版本: lnmp1.5 无法配置tls1.3