配置nginx支持tls1.3最最最坑爹的坑

Linux | 2019-06-04 14:46:29 | 阅读 539 次 | 评论(1)

按网上的教程,编译openssl 1.1.1

查看nginx信息,也是基于openssl 1.1.1编译的

root@bccnsoft:~# nginx -V
nginx version: nginx/1.17.0
built by gcc 5.4.0 20160609 (Ubuntu 5.4.0-6ubuntu1~16.04.4)
built with OpenSSL 1.1.1c  28 May 2019
TLS SNI support enabled

然后不管怎么搞,在浏览器里查看的时候还是tls1.2,不管怎么重启调试,都是tls1.2,急炸老子的心肺!


浪费了一天的功夫,终于发现了这个坑:

nginx的所有网站配置里面都要加入 ssl_protocols      TLSv1.1 TLSv1.2 TLSv1.3;

只要一个网站的server{ ... }配置里没加入 ssl_protocols      TLSv1.1 TLSv1.2 TLSv1.3; 就有可能导致所有网站开启tls1.3失效,注意这里是“可能”,也就是说也有可能不失效,尼玛😖


总之,要保证tls1.3开启成功,最好所有网站的server{ ... }配置里都加入ssl_protocols      TLSv1.1 TLSv1.2 TLSv1.3;

文章评论,共1条
Image
1楼: 灰尺条着 发表于 2019-07-25 14:03   回复
游客请输入验证码
浏览1878400次
文章归档
最新评论
  • 猫云:学习 学习
  • 静夜思:它下面的,直到ob_get_clean() 为止