<div dir="ltr">Hi.  I know this does not solve the problem, but curious if  you found a package that was compiled with 1.1.1 or compile it yourself.  Generally i like to avoid the later as everything is managed through salt, but am interested in TLSv1.3<div><br></div><div>Thanks,<br>Jeff</div></div><br><div class="gmail_quote"><div dir="ltr">On Tue, Nov 6, 2018 at 1:19 PM Maxim Dounin <<a href="mailto:mdounin@mdounin.ru" target="_blank">mdounin@mdounin.ru</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>
<br>
On Sat, Nov 03, 2018 at 06:14:15PM +0000, Bogdan via nginx wrote:<br>
<br>
> Hello, everyone.<br>
> <br>
> I am stuck with a fresh installation which runs absolutely fine except it doesn't offer TLS1.3 which is the the biggest reason for updating the server.<br>
> <br>
> Below is some info about my config.<br>
> <br>
> Distribution: Ubuntu 18.04 server with kernel 4.15.0-38-generic<br>
> <br>
> nginx compile options: nginx/1.15.5 (Ubuntu)<br>
> built by gcc 7.3.0 (Ubuntu 7.3.0-27ubuntu1~18.04)<br>
> built with OpenSSL 1.1.1  11 Sep 2018<br>
> TLS SNI support enabled<br>
> configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --user=nobody --group=nogroup --build=Ubuntu --builddir=nginx-1.15.5 --with-openssl=../openssl-1.1.1 --with-pcre=../pcre-8.42 --with-pcre-jit --with-zlib=../zlib-1.2.11 --with-openssl-opt=no-nextprotoneg --with-select_module --with-poll_module --with-threads --with-file-aio --with-http_ssl_module --with-http_v2_module --with-http_realip_module --with-http_addition_module --with-http_xslt_module=dynamic --with-http_image_filter_module=dynamic --with-http_sub_module --with-http_geoip_module=dynamic --with-http_auth_request_module --with-http_secure_link_module --with-http_degradation_module --with-http_slice_module --with-http_stub_status_module --with-http_perl_module=dynamic --with-perl_modules_path=/usr/share/perl/5.26.1 --with-perl=/usr/bi<br>
 n/perl --http-log-path=/var/log/nginx/access.log --http-client-body-temp-path=/var/cache/nginx/client_temp --without-http_empty_gif_module --without-http_browser_module --without-http_fastcgi_module --without-http_uwsgi_module --without-http_scgi_module --without-mail_pop3_module --without-mail_imap_module --without-mail_smtp_module --with-stream=dynamic --with-stream_ssl_module --with-stream_realip_module --with-stream_geoip_module=dynamic --with-stream_ssl_preread_module --with-compat --with-debug<br>
> <br>
> /etc/nginx/sites-available/default:<br>
> <br>
> ssl_session_cache shared:SSL:1m;<br>
> <br>
> server {<br>
> <br>
> ssl_early_data on;<br>
> ssl_dhparam /etc/nginx/ssl/dh4096.pem;<br>
> ssl_session_timeout 5m;<br>
> ssl_stapling on;<br>
> ssl_stapling_verify on;<br>
> ssl_prefer_server_ciphers on;<br>
> ssl_protocols TLSv1.2 TLSv1.3;<br>
> ssl_ciphers TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-256-GCM-SHA384:TLS13-AES-128-GCM-SHA256:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-RSA-AES256-SHA;<br>
> ssl_ecdh_curve secp521r1:secp384r1;<br>
> <br>
> }<br>
> <br>
> I can't reach beyond TLS1.2 with Firefox 63 (security.tls.version.max = 4, that is TLS1.3 RFC as far as I know) and <a href="http://ssllabs.com" rel="noreferrer" target="_blank">ssllabs.com</a>'s test says TLSv1.3 is non-existent on the server.<br>
> <br>
> Any help would be much appreciated.<br>
<br>
Make sure you have properly configured ssl_protocols in the <br>
default server for the listen socket in question.  If unsure, <br>
configure ssl_protocols at the http{} level.<br>
<br>
Note well that testing using "openssl s_client" from the OpenSSL <br>
library you've built nginx with is the most reliable approach, as it <br>
ensures that proper TLSv1.3 variant is used by the client.<br>
<br>
-- <br>
Maxim Dounin<br>
<a href="http://mdounin.ru/" rel="noreferrer" target="_blank">http://mdounin.ru/</a><br>
_______________________________________________<br>
nginx mailing list<br>
<a href="mailto:nginx@nginx.org" target="_blank">nginx@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx</a><br>
</blockquote></div>