[紧急求助] 无法成功开启 TLS1.3!

2019-01-17 11:50:37 +08:00
 ddid

问题:浏览器提示客户端和服务器不支持一般 SSL 协议版本或加密套件。
谷歌浏览器-71
Nginx-1.14.2
OpenSSL-1.1.1a
Nginx 编译参数:

./configure --prefix=/usr/local/nginx --user=nobody --group=nobody --with-threads --with-http_ssl_module --with-http_v2_module --with-pcre --with-openssl=/usr/local/yuanma/openssl-1.1.1a --with-zlib=/usr/local/yuanma/zlib-1.2.11 --with-cc-opt=-DTCP_FASTOPEN=23 && make && make install

Nginx 配置文件( ssl 部分):

        ssl_certificate      /usr/local/nginx/ssl/ssl.pem;
        ssl_certificate_key  /usr/local/nginx/ssl/ssl.key;
        ssl_dhparam          /etc/ssl/certs/dhparam.pem;

        ssl_session_cache    shared:SSL:5m;
        ssl_session_timeout  5m;

        ssl_ciphers          TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256;;
        ssl_prefer_server_ciphers  on;
2829 次点击
所在节点    程序员
5 条回复
Nangle
2019-01-17 12:01:53 +08:00
Nginx 配置文件少写了东西
jim9606
2019-01-17 14:22:48 +08:00
不知道是不是需要 --with-openssl-opt='enable-tls1_3'
chrome 好像还要在 chrome://flags 打开 tls1.3 final
sdrzlyz
2019-01-17 15:40:20 +08:00
https://github.com/hakasenyang/openssl-patch
sdrzlyz
2019-01-17 15:43:50 +08:00
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
Librazy
2019-01-17 15:52:20 +08:00
@sdrzlyz 没有特殊需求的话,不需要 /不建议这个 patch (我自己同时维护了两个 nginx 编译,已知加了这个 patch 在某些情况下会影响 tls1.1 的协商)

1.14.2 可能有点老,建议用 1.15.6 以上的 nginx,至少 1.15.3,新版有没有默认 enable-tls1_3 有点忘了,建议加一下,然后 ciphers 的话除非需要 1.3only 否则还是加一下 1.2 的 pfs ciphers 为好。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/527877

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX