lnmp1.5 无法配置tls1.3

phper

如题，军哥帮忙看一下，给点排除建议，非常希望军哥有空帮忙看一下！我用lnmp1.5配置了https是没有问题得，这里只是想尝试一下tls1.3,但是始终是不行。
环境：Debian 8 +lnmp1.5
我的nginx相关配置参数如下（nginx -V）：
root@debian:~# nginx -V
nginx version: nginx/1.13.9
built by gcc 4.9.2 (Debian 4.9.2-10+deb8u1)
built with OpenSSL 1.1.1-pre3 (beta) 20 Mar 2018
TLS SNI support enabled
configure arguments: --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_gzip_static_module --with-http_sub_module --with-stream --with-stream_ssl_module --with-ld-opt=-ljemalloc --with-openssl=/root/openssl-1.1.1-pre3 --with-openssl-opt='enable-tls1_3 enable-weak-ssl-ciphers' --add-module=/root/incubator-pagespeed-ngx-latest-stable --add-module=/root/ngx_brotli --add-module=/root/ngx_http_google_filter_module --add-module=/root/ngx_http_substitutions_filter_module --add-module=/root/headers-more-nginx-module-0.33


我的各个虚拟主机得配置文件也配置好了，都配置了TLSv1.3 ，ssl_ciphers
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers on;
        ssl_ciphers TLS13-AES-128-GCM-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:!3DES:!MD5;


而且 Google浏览器打开了 Enabled (Draft 23) ，测试打开别人的支持tls1.3得站 开发者工具栏里面会显示tls1.3 。 浏览器是没有问题的是支持得。
我在想，是不是增加得扩展与openssl 最新版有冲突，不是很了解。
现在不知道具体问题出在哪里了。。。所以来问问军哥，希望能解疑答惑，谢谢！
PS: 只是自(｡･∀･)ﾉﾞ嗨一下，实在不行就算啦。。。

[ 本帖最后由 phper 于 2018-3-27 20:18 编辑 ]

licess

tls1.3还不大了解

prouser

前久测试过pre2，支持Draft23，Chrome是mac稳定版66，没特意设置，默认支持Draft23。
经验不多，看你的配置和参数应该是Draft版本不匹配的问题，pre3对应的是23+x了。总之，浏览器、Nginx的TLS1.3版本都需要一致，所以都在等正式版一统江湖。

另外给军哥提个建议，lnmp添加完vhost ssl之后，默认配置文件ssl_ciphers的前两项是：

1. EECDH+CHACHA20和EECDH+CHACHA20-draft

复制代码

但lnmp1.4/1.5使用的openssl版本都是1.0.2x，并不支持chacha20系的cipher suites，需要打patch，查看命令：

1. openssl ciphers

复制代码

所以可以去掉那2项，或者放到那些AES后面合理些，还能提高浏览器与服务端协商速度0.0..几毫秒？

[ 本帖最后由 prouser 于 2018-5-22 02:31 编辑 ]