参考之一:https://imtx.me/blog/enable-ts-1-3-for-nginx-on-ubuntu-18-04/,
以下皆参考一的引文,依计施法并不成功,可以在此站验证:https://www.ssllabs.com/ssltest/index.html
首先升级至 Ubuntu 18.04.3,这是当前的最新版本。如果想要在 Nginx 下启用 TLS 1.3 的全部特性,包括 0-RTT,建议使用 Nginx 的最新 Stable PPA。
使用 Nginx Stable PPA:
sudo add-apt-repository ppa:nginx/stable
sudo apt-get update
sudo apt-get upgrade
更新 Ubuntu 和 Nginx 后,就可以写配置文件启用 TLS 1.3 了。
修改配置文件以启用 TLS 1.3
编辑 /etc/nginx/nginx.conf 文件,在 http 那块,找到 ssl_protocols 这字段,将原先的修改为:
ssl_protocols TLSv1.2 TLSv1.3;
建议保留 TLSv1.2,这样在旧的设备和环境上依然可以保持正常的浏览和访问。修改后,重启 Nginx:
sudo systemctl restart nginx
参考之二:https://ywnz.com/linuxyffq/4558.html
此文虽然排版远不如上文,逻辑上高屋建瓴,俺这愚笨之人也一下被点化,按逻辑捋到/etc/letsencrypt/options-ssl-nginx.conf发现症结,加TLS 1.3, 删去TLS 1.x。施终极大法sudo systemctl restart nginx,再次访问本博,奥利给!在ssltest网站验证如一。以下皆引文。
在Nginx主机中启用TLS 1.3
使用OpenSSL 1.1.1的Nginx后,打开Nginx主机文件:
sudo nano /etc/nginx/conf.d/site.conf
或者:
sudo nano /etc/nginx/sites-enabled/site.conf
要启用TLS 1.3,只需将TLSv1.3添加到SSL服务器块中的ssl_protocols指令即可:
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
如果使用的是Let的加密证书,则可以在/etc/letsencrypt/options-ssl-nginx.conf文件中设置你的SSL配置,顺便说一下,certbot默认启用TLSv1,这是不安全的,你可以删除它,如果使用的是iRedMail和Nginx,则需要在/etc/nginx/templates/ssl.tmpl文件中编辑SSL配置。
保存并关闭文件,然后重新启动Nginx以使更改生效:
sudo systemctl restart nginx
This work is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 4.0 International License.