[紧急求助] 无法成功开启 TLS1.3！

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 2121 天前的主题，其中的信息可能已经有所发展或是发生改变。

问题：浏览器提示客户端和服务器不支持一般 SSL 协议版本或加密套件。
谷歌浏览器-71
Nginx-1.14.2
OpenSSL-1.1.1a
Nginx 编译参数：

./configure --prefix=/usr/local/nginx --user=nobody --group=nobody --with-threads --with-http_ssl_module --with-http_v2_module --with-pcre --with-openssl=/usr/local/yuanma/openssl-1.1.1a --with-zlib=/usr/local/yuanma/zlib-1.2.11 --with-cc-opt=-DTCP_FASTOPEN=23 && make && make install

Nginx 配置文件（ ssl 部分）：

        ssl_certificate      /usr/local/nginx/ssl/ssl.pem;
        ssl_certificate_key  /usr/local/nginx/ssl/ssl.key;
        ssl_dhparam          /etc/ssl/certs/dhparam.pem;

        ssl_session_cache    shared:SSL:5m;
        ssl_session_timeout  5m;

        ssl_ciphers          TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256;;
        ssl_prefer_server_ciphers  on;

5 条回复 • 2019-01-17 15:52:20 +08:00

Nangle

2019-01-17 12:01:53 +08:00 via iPhone

Nginx 配置文件少写了东西

jim9606

2019-01-17 14:22:48 +08:00

不知道是不是需要 --with-openssl-opt='enable-tls1_3'
chrome 好像还要在 chrome://flags 打开 tls1.3 final

sdrzlyz

2019-01-17 15:40:20 +08:00

https://github.com/hakasenyang/openssl-patch

sdrzlyz

2019-01-17 15:43:50 +08:00

ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;

Librazy

2019-01-17 15:52:20 +08:00 via Android

@sdrzlyz 没有特殊需求的话，不需要 /不建议这个 patch （我自己同时维护了两个 nginx 编译，已知加了这个 patch 在某些情况下会影响 tls1.1 的协商）

1.14.2 可能有点老，建议用 1.15.6 以上的 nginx，至少 1.15.3，新版有没有默认 enable-tls1_3 有点忘了，建议加一下，然后 ciphers 的话除非需要 1.3only 否则还是加一下 1.2 的 pfs ciphers 为好。