web-dev-qa-db-ja.com

TLS1.3がOpenSSL 1.1.1-pre9を使用するnginx 1.15.2で機能しない

最新のnginxとOpenSSLを使用しているにもかかわらず、構成ファイルでTLS1.3が有効になっている場合でも、サーバー(参照用にwww.baldeonline.com)でTLS1.3が生成されません。さらに、nginxのインスタンスは、OpenSSL 1.1.1-pre9がインストールされた状態でコンパイルされています。

$ nginx -V 戻り値:

nginx version: nginx/1.15.2
built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
built with OpenSSL 1.1.1-pre9 (beta) 21 Aug 2018

これまでに見たほとんどのチュートリアルにはCloudFlareが含まれているので、サーバーとCloudFlareの間でTLS1.2、CloudFlareとクライアントの間でTLS1.3として機能するのではないかと思いますが、具体的な提案はありません。

[〜#〜]編集[〜#〜]

パトリックが述べたように、コマンドを実行します:
$ openssl s_client -connect www.baldeonline.com:443

tLS1.3が有効になっていることを示しています。 TLS1.3は、ドラフト標準だけでなく、最終的なTLS1.3(2018年8月15日)標準を完全にサポートするように更新されたブラウザーで動作するはずです。

興味のある人のために:

https://wiki.openssl.org/index.php/TLS1.3#Current_status_of_the_TLSv1.3_standard

最新の1.1.1バージョンは最終的な標準バージョンをサポートしますが、TLSv1.3をサポートする他のアプリケーションは古いドラフトバージョンを使用している可能性があります。これは相互運用性の問題の一般的な原因です。異なるTLSv1.3ドラフトバージョンをサポートする2つのピアが通信しようとすると、TLSv1.2にフォールバックします。

TLDR:TLS1.3を機能させる場合nowドラフト28ではOpenSSL 1.1.1-pre8を使用 https://fearby.com/article/enabling-tls-1-3-ssl-on-a-nginx-website -on-an-ubuntu-16-04-server-that-is-using-cloudflare / 「Open SSLを更新する時間」にスキップして https://www.openssl.org/sourceを使用/openssl-1.1.1-pre8.tar.gz git cloneの代わり。

4
Alex Baldwin

OpenSSL 1.1.1-pre9では、TLS1.3最終バージョンを除くすべてのドラフトサポートが削除されました。ただし、ブラウザはドラフトバージョンのみをサポートしています。

5
mog422