TLS 1.3 是最新的安全传输协议,目前已经被主流系统和浏览器支持了,主流网站(如 Google)也早已开启了 TLS 1.3 的支持。本文介绍如何在 Ubuntu 18.04 + Nginx 下开启 TLS 1.3 的支持。
升级 Ubuntu 和 Nginx
首先升级至 Ubuntu 18.04.3,这是当前的最新版本。如果想要在 Nginx 下启用 TLS 1.3 的全部特性,包括 0-RTT,建议使用 Nginx 的最新 Stable PPA。
使用 Nginx Stable PPA:
sudo add-apt-repository ppa:nginx/stable sudo apt-get update sudo apt-get upgrade
更新 Ubuntu 和 Nginx 后,就可以写配置文件启用 TLS 1.3 了。
修改配置文件以启用 TLS 1.3
编辑 /etc/nginx/nginx.conf 文件,在 http 那块,找到 ssl_protocols 这字段,将原先的修改为:
ssl_protocols TLSv1.2 TLSv1.3;
建议保留 TLSv1.2,这样在旧的设备和环境上依然可以保持正常的浏览和访问。修改后,重启 Nginx:
sudo systemctl restart nginx