V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
ddid
V2EX  ›  程序员

[紧急求助] 无法成功开启 TLS1.3!

  •  
  •   ddid · 2019-01-17 11:50:37 +08:00 · 2964 次点击
    这是一个创建于 2138 天前的主题,其中的信息可能已经有所发展或是发生改变。

    问题:浏览器提示客户端和服务器不支持一般 SSL 协议版本或加密套件。
    谷歌浏览器-71
    Nginx-1.14.2
    OpenSSL-1.1.1a
    Nginx 编译参数:

    ./configure --prefix=/usr/local/nginx --user=nobody --group=nobody --with-threads --with-http_ssl_module --with-http_v2_module --with-pcre --with-openssl=/usr/local/yuanma/openssl-1.1.1a --with-zlib=/usr/local/yuanma/zlib-1.2.11 --with-cc-opt=-DTCP_FASTOPEN=23 && make && make install

    Nginx 配置文件( ssl 部分):

            ssl_certificate      /usr/local/nginx/ssl/ssl.pem;
            ssl_certificate_key  /usr/local/nginx/ssl/ssl.key;
            ssl_dhparam          /etc/ssl/certs/dhparam.pem;
    
            ssl_session_cache    shared:SSL:5m;
            ssl_session_timeout  5m;
    
            ssl_ciphers          TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:TLS13-AES-128-CCM-8-SHA256;;
            ssl_prefer_server_ciphers  on;
    
    5 条回复    2019-01-17 15:52:20 +08:00
    Nangle
        1
    Nangle  
       2019-01-17 12:01:53 +08:00 via iPhone
    Nginx 配置文件少写了东西
    jim9606
        2
    jim9606  
       2019-01-17 14:22:48 +08:00
    不知道是不是需要 --with-openssl-opt='enable-tls1_3'
    chrome 好像还要在 chrome://flags 打开 tls1.3 final
    sdrzlyz
        3
    sdrzlyz  
       2019-01-17 15:40:20 +08:00
    sdrzlyz
        4
    sdrzlyz  
       2019-01-17 15:43:50 +08:00
    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
    Librazy
        5
    Librazy  
       2019-01-17 15:52:20 +08:00 via Android
    @sdrzlyz 没有特殊需求的话,不需要 /不建议这个 patch (我自己同时维护了两个 nginx 编译,已知加了这个 patch 在某些情况下会影响 tls1.1 的协商)

    1.14.2 可能有点老,建议用 1.15.6 以上的 nginx,至少 1.15.3,新版有没有默认 enable-tls1_3 有点忘了,建议加一下,然后 ciphers 的话除非需要 1.3only 否则还是加一下 1.2 的 pfs ciphers 为好。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1719 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 24ms · UTC 16:32 · PVG 00:32 · LAX 08:32 · JFK 11:32
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.