Eu configurei recentemente um site com certbot --nginx -d <domain> . Em /etc/letsencrypt/options-ssl-nginx.conf , adicionei o TLSv1.3 à diretiva ssl_protocols . No entanto, quando visito o site (Chrome 68), a guia de segurança mostra o TLSv1.2. Eu testei o site com ssllabs.com, que também mostrou apenas as versões 1.0-1.2 do TLS ativadas.
Não vejo erros em journalctl -u nginx.service | grep -i tls ou grep -i tls /var/log/nginx/*.log .
Como eu poderia solucionar esse problema? Eu verifiquei todos os meus arquivos de configuração e todos os meus arquivos de log e não encontrei a fonte (ou qualquer informação sobre) o problema.
Informações do software:
Configuração do site (gerada por certbot ): link
/etc/letsencrypt/options-ssl-nginx.conf : link
OpenSSL 1.1.0g 2 Nov 2017
Eu nem sequer olhei para o resto do que você está fazendo, mas o OpenSSL 1.1.0 simplesmente não suporta o TLS 1.3 ainda. O TLS 1.3 é compatível apenas com o OpenSSL 1.1.1. Consulte Usando o TLS1.3 com o OpenSSL para obter mais informações.
Até que o Ubuntu libere sua atualização padrão para ele, você pode usar o TLSv1.3 via Ondrej Sury PPA que foi atualizado recentemente.
Basicamente, você precisará adicionar seus repositórios nginx e nginx-qa do PPA, remover o nginx padrão e instalar o nginx do PPA e o openssl da seguinte forma:
sudo add-apt-repository ppa:ondrej/nginx-mainline
sudo add-apt-repository ppa:ondrej/nginx-qa
sudo apt-get update; #This is not needed in Ubuntu 18.04
sudo apt-get -y remove nginx; #If you already installed default Nginx
sudo apt-get -y install nginx openssl
Expliquei os passos para a instalação manual do openssl 1.1.1 em HowToForge mas usar o PPA mencionado acima é mais fácil e seguro.