VPS侦探论坛

 找回密码
 注册
搜索
热搜: pathinfo
查看: 1524|回复: 2

lnmp1.5 无法配置tls1.3

[复制链接]
发表于 2018-3-27 20:15:33 | 显示全部楼层 |阅读模式

如题,军哥帮忙看一下,给点排除建议,非常希望军哥有空帮忙看一下!我用lnmp1.5配置了https是没有问题得,这里只是想尝试一下tls1.3,但是始终是不行。
环境:Debian 8 +lnmp1.5
我的nginx相关配置参数如下(nginx -V):
root@debian:~# nginx -V
nginx version: nginx/1.13.9
built by gcc 4.9.2 (Debian 4.9.2-10+deb8u1)
built with OpenSSL 1.1.1-pre3 (beta) 20 Mar 2018
TLS SNI support enabled
configure arguments: --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module --with-http_v2_module --with-http_gzip_static_module --with-http_sub_module --with-stream --with-stream_ssl_module --with-ld-opt=-ljemalloc --with-openssl=/root/openssl-1.1.1-pre3 --with-openssl-opt='enable-tls1_3 enable-weak-ssl-ciphers' --add-module=/root/incubator-pagespeed-ngx-latest-stable --add-module=/root/ngx_brotli --add-module=/root/ngx_http_google_filter_module --add-module=/root/ngx_http_substitutions_filter_module --add-module=/root/headers-more-nginx-module-0.33


我的各个虚拟主机得配置文件也配置好了,都配置了TLSv1.3 ,ssl_ciphers
        ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
        ssl_prefer_server_ciphers on;
        ssl_ciphers TLS13-AES-128-GCM-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-CCM-8-SHA256:TLS13-AES-128-CCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:!3DES:!MD5;


而且 Google浏览器打开了 Enabled (Draft 23) ,测试打开别人的支持tls1.3得站 开发者工具栏里面会显示tls1.3 。 浏览器是没有问题的是支持得。
我在想,是不是增加得扩展与openssl 最新版有冲突,不是很了解。
现在不知道具体问题出在哪里了。。。所以来问问军哥,希望能解疑答惑,谢谢!
PS: 只是自(。・∀・)ノ゙嗨一下,实在不行就算啦。。。

[ 本帖最后由 phper 于 2018-3-27 20:18 编辑 ]

美国VPS、VPN、域名代购:http://shop63846532.taobao.com/

发表于 2018-3-28 09:16:33 | 显示全部楼层

tls1.3还不大了解
美国VPS推荐: 遨游主机LinodeLOCVPSKVMLAVPS2EZ搬瓦工80VPSVultr美国VPS主机中国VPS推荐: 阿里云腾讯云。LNMP付费服务(代装/问题排查)QQ 503228080
发表于 2018-5-20 21:36:16 | 显示全部楼层




前久测试过pre2,支持Draft23,Chrome是mac稳定版66,没特意设置,默认支持Draft23。
经验不多,看你的配置和参数应该是Draft版本不匹配的问题,pre3对应的是23+x了。总之,浏览器、Nginx的TLS1.3版本都需要一致,所以都在等正式版一统江湖。

另外给军哥提个建议,lnmp添加完vhost ssl之后,默认配置文件ssl_ciphers的前两项是:
  1. EECDH+CHACHA20和EECDH+CHACHA20-draft
复制代码
但lnmp1.4/1.5使用的openssl版本都是1.0.2x,并不支持chacha20系的cipher suites,需要打patch,查看命令:
  1. openssl ciphers
复制代码
所以可以去掉那2项,或者放到那些AES后面合理些,还能提高浏览器与服务端协商速度0.0..几毫秒?

[ 本帖最后由 prouser 于 2018-5-22 02:31 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?注册

x
Linux下Nginx+MySQL+PHP自动安装工具:https://lnmp.org/
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|VPS侦探 ( 鲁ICP备16040043号-1 )

GMT+8, 2019-5-24 22:13 , Processed in 0.042400 second(s), 27 queries .

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表