Nginx启用TLS1.3协议支持

区别：TLS1.3 VS TLS1.2

简而言之，优化了以下内容

• 减少握手次数，减少延迟
• ServerHello之后的所有握手消息都进行加密
• 不再支持gzip压缩、DHE和DSA，取而代之的是使用PSS
• 删除旧算法，使用AEAD算法替代

1. 首先编译升级安装OpenSSL

安装版本：openssl 1.1.1h

参考：编译安装openssl

2. 配置nginx支持TLS1.3协议

$ nginx -V
nginx version: nginx/1.16.1
built by gcc 4.8.5 20150623 (Red Hat 4.8.5-44) (GCC) 
built with OpenSSL 1.1.1c FIPS  28 May 2019 (running with OpenSSL 1.1.1h  22 Sep 2020)
TLS SNI support enabled

cat /etc/nginx/nginx.conf

#找到Gzip,关闭gzip压缩
gzip off;

cat /etc/nginx/conf.d/xxx.conf

#新增TLSv1.3
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;

#修改Cipher Suite
ssl_ciphers TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;

#------------------------- 以下为可选配置 --------------------
#配置HSTS
add_header Strict-Transport-Security "max-age=63072000; includeSubdomains; preload";

nginx -t
nginx -s reload

3. 验证是否成功支持TLSv1.3

OpenSSL命令验证

$ openssl s_client -connect www.xxx.com:443  -tls1_3
......
New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384
Server public key is 2048 bit
Secure Renegotiation IS NOT supported
SSL-Session:
    Protocol  : TLSv1.3
    Cipher    : TLS_AES_256_GCM_SHA384
    Session-ID: 75570826609753...F794392825D201F4F043FA
......

Web在线验证： https://www.cdn77.com/tls-test 或 https://www.cdn77.com/tls-test

4. 配置Chrome支持TLS1.3

进入 chrome://flags 页面，搜索“TLS 1.3” —> TLS 1.3 Early Data: enable —>重启浏览器

访问https://www.xxx.com , 打开F12 —> Security

• 本文作者： GaryWu
• 本文链接： https://garywu520.github.io/2020/11/28/Nginx启用TLS1-3协议支持/
• 版权声明： 本博客所有文章除特别声明外，均采用 MIT 许可协议。转载请注明出处！