我 blog 的 nginx 是用 ondrej 的版本,最近他把套件加上 TLSv1.3 的支援 (主要是 OpenSSL 1.1.1 出了),但不知道是哪個環節出問題了,現在 TLSv1.3 關不掉 XDDD
而且包起來的 OpenSSL 很奇怪,不管什麼情況都會把 TLSv1.3 的三個 cipher 放進來:
gslin@colo-vultr-1 [~] [17:38] openssl ciphers -v 'xxx' TLS_AES_256_GCM_SHA384 TLSv1.3 Kx=any Au=any Enc=AESGCM(256) Mac=AEAD TLS_CHACHA20_POLY1305_SHA256 TLSv1.3 Kx=any Au=any Enc=CHACHA20/POLY1305(256) Mac=AEAD TLS_AES_128_GCM_SHA256 TLSv1.3 Kx=any Au=any Enc=AESGCM(128) Mac=AEAD
然後 nginx 只設 TLSv1.2 的情況下,用 SSL Labs 的網站掃還是會有 TLSv1.3:
ssl_protocols TLSv1.2;
然後還有遇到改了 cipher 後,跑 pkill -1 nginx
之後 client 端會回報沒有任何 cipher 可以用,直到跑了 service nginx restart
後就好的情況...
建議想用的人再等一下...
路過看到...
現在 Ondřej Surý ppa 包的 nginx 可以同時跑 TLSv1.2 TLSv1.3,至於 1.1 以前的我都關了XD