Поддержка TLS1.3

analytic nginx-forum на forum.nginx.org
Сб Окт 27 18:19:43 UTC 2018


Всем привет.
Ситуация следующая. Собрал nginx 1.15.5 с openssl 1.1.1.

nginx version: nginx/1.15.5
built by gcc 5.4.0 20160609 (Ubuntu 5.4.0-6ubuntu1~16.04.10)
built with OpenSSL 1.1.1  11 Sep 2018
TLS SNI support enabled
configure arguments: --with-cc-opt='-g -O2 -fPIE -fstack-protector-strong
-Wformat -Werror=format-security -fPIC -Wdate-time -D_FORTIFY_SOURCE=2'
--with-ld-opt='-Wl,-Bsymbolic-functions -fPIE -pie -Wl,-z,relro -Wl,-z,now
-fPIC' --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx
--modules-path=/usr/lib/nginx/modules --conf-path=/etc/nginx/nginx.conf
--error-log-path=/var/log/nginx/error.log
--http-log-path=/var/log/nginx/access.log --pid-path=/run/nginx.pid
--lock-path=/run/lock/nginx.lock
--http-client-body-temp-path=/var/cache/nginx/client_temp
--http-proxy-temp-path=/var/cache/nginx/proxy_temp
--http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp
--http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp
--http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=www-data
--group=www-data --with-http_ssl_module --with-http_realip_module
--with-http_addition_module --with-http_sub_module --with-http_dav_module
--with-http_flv_module --with-http_gunzip_module
--with-http_gzip_static_module --with-http_random_index_module
--with-http_secure_link_module --with-http_stub_status_module
--with-http_auth_request_module --with-http_slice_module --with-threads
--with-stream --with-stream_ssl_module --with-mail --with-mail_ssl_module
--with-file-aio --with-http_v2_module
--with-openssl=/opt/cpf/nginx/nginx-1.15.5/openssl-1.1.1
--with-openssl-opt=enable-tls1_3
--add-module=/opt/cpf/nginx/nginx-1.15.5/brotli
--add-module=/opt/cpf/nginx/nginx-1.15.5/ngx_cache_purge-2.3

Включил в настройках поддержку TLS1.3

ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3; # Dropping SSLv3, ref: POODLE
        ssl_prefer_server_ciphers on;
        ssl_session_cache   shared:SSL:10m;
        ssl_session_timeout 10m;
        ssl_ciphers 'TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-
SHA256:TLS13-AES-256-GCM-SHA384:ECDHE:!COMPLEMENTOFDEFAULT';

Однако при проверки через ssllabs.com TLS1.3 нет. Что еще нужно сделать, что
бы заработал этот TLS1.3?
Я правильно понимаю, что Nginx собирается со статической версией OpenSSL и
это дает ему независимость от версии OpenSSL в операционной системе?

P.S. Проверил cloudflare.com все через тот же ssllabs.com, там поддержка
TLS1.3 есть.

Posted at Nginx Forum: https://forum.nginx.org/read.php?21,281713,281713#msg-281713



Подробная информация о списке рассылки nginx-ru