Nginx 1.14.1 built with OpenSSL 1.1.0g
O OpenSSL 1.1.0 não suporta o TLS 1.3
Ubuntu Server 18.04.1, OpenSSL 1.1.1 11 Sep 2018
O Ubuntu 18.04.1 vem com o OpenSSL 1.1.0g não com o OpenSSL 1.1.1.
Meu palpite é que você de alguma forma instalou o OpenSSL 1.1.1 em seu sistema de uma maneira que substituiu a versão que vem com o sistema operacional. Como o nginx usa bibliotecas compartilhadas, ele usará o OpenSSL 1.1.1 que você instalou, mesmo que ele tenha sido compilado com o OpenSSL 1.1.0g.
A opção ssl_protocols TLSv1.2; no nginx não é implementada apenas ativando o TLS 1.2. Em vez disso, todos os protocolos úteis são ativados por padrão e restringi-los ao TLS 1.2 significa que tudo, exceto o TLS 1.2, fica desativado. Mas, ele só pode desabilitar os protocolos dos quais está ciente e, dado que o nginx foi compilado em uma versão do OpenSSL sem suporte ao TLS 1.3, ele não sabe que o TLS 1.3 existe e também não tem como desativá-lo, o que significa que ele permanece ativado. / p>