No OpenSSL 1.1.1-pre9, todo o suporte a rascunho, exceto a versão final do TLS1.3, foi removido. No entanto, os navegadores suportam apenas versões de rascunho.
Apesar de ter o nginx mais recente, o OpenSSL não produz o TLS1.3 no meu servidor (www.baldeonline.com para referência), embora esteja ativado em meus arquivos de configuração. Além disso, minha instância do nginx foi compilada com o OpenSSL 1.1.1-pre9 instalado.
$ node -V retorna:
nginx version: nginx/1.15.2
built by gcc 6.3.0 20170516 (Debian 6.3.0-18+deb9u1)
built with OpenSSL 1.1.1-pre9 (beta) 21 Aug 2018
A maioria dos tutoriais que vi até agora incluem CloudFlare, então eu suspeito que funciona nesse caso como TLS1.2 entre Server e CloudFlare e depois TLS1.3 entre CloudFlare e Client, embora eu não tenha nada concreto para sugerir isso.
EDITAR
Como Patrick mencionou, executando o comando:
$ openssl s_client -connect www.baldeonline.com:443
mostra que o TLS1.3 está ativado. O TLS1.3 deve funcionar com navegadores quando eles são atualizados para suportar totalmente o padrão final TLS1.3 (15 de agosto de 2018), não apenas os padrões de rascunho.
Para os interessados:
Embora as versões 1.1.1 mais recentes suportem a versão padrão final, outros aplicativos que suportam TLSv1.3 ainda podem estar usando versões de rascunho mais antigas. Esta é uma fonte comum de problemas de interoperabilidade. Se dois pares que suportam diferentes versões de rascunho TLSv1.3 tentarem se comunicar, eles voltarão para o TLSv1.2.
TLDR: Se você quiser que o TLS1.3 funcione agora com o rascunho 28, use o OpenSSL 1.1.1-pre8 link Vá para "Hora de atualizar o SSL aberto" e use o link no lugar do clone git.
Tags ssl openssl nginx https web-hosting