TLS v1.3 não está ativo apesar de estar ativado na configuração do NGINX (certbot --nginx)

1

Eu configurei recentemente um site com certbot --nginx -d <domain> . Em /etc/letsencrypt/options-ssl-nginx.conf , adicionei o TLSv1.3 à diretiva ssl_protocols . No entanto, quando visito o site (Chrome 68), a guia de segurança mostra o TLSv1.2. Eu testei o site com ssllabs.com, que também mostrou apenas as versões 1.0-1.2 do TLS ativadas.

Não vejo erros em journalctl -u nginx.service | grep -i tls ou grep -i tls /var/log/nginx/*.log .

Como eu poderia solucionar esse problema? Eu verifiquei todos os meus arquivos de configuração e todos os meus arquivos de log e não encontrei a fonte (ou qualquer informação sobre) o problema.

Informações do software:

  • certbot 0.23.0
  • versão nginx: nginx / 1.14.0 (Ubuntu)
  • OpenSSL 1.1.0g 2 de novembro de 2017
  • Ubuntu 18.04
  • Linux 4.15.0-20-genérico x86_64

Configuração do site (gerada por certbot ): link

/etc/letsencrypt/options-ssl-nginx.conf : link

    
por RalphORama 20.05.2018 / 03:19

2 respostas

5

OpenSSL 1.1.0g 2 Nov 2017

Eu nem sequer olhei para o resto do que você está fazendo, mas o OpenSSL 1.1.0 simplesmente não suporta o TLS 1.3 ainda. O TLS 1.3 é compatível apenas com o OpenSSL 1.1.1. Consulte Usando o TLS1.3 com o OpenSSL para obter mais informações.

    
por 20.05.2018 / 06:09
0

Até que o Ubuntu libere sua atualização padrão para ele, você pode usar o TLSv1.3 via Ondrej Sury PPA que foi atualizado recentemente.

Basicamente, você precisará adicionar seus repositórios nginx e nginx-qa do PPA, remover o nginx padrão e instalar o nginx do PPA e o openssl da seguinte forma:

sudo add-apt-repository ppa:ondrej/nginx-mainline
sudo add-apt-repository ppa:ondrej/nginx-qa
sudo apt-get update; #This is not needed in Ubuntu 18.04
sudo apt-get -y remove nginx; #If you already installed default Nginx
sudo apt-get -y install nginx openssl

Expliquei os passos para a instalação manual do openssl 1.1.1 em HowToForge mas usar o PPA mencionado acima é mais fácil e seguro.

    
por 19.08.2018 / 09:29