Nginx 使用 TLS 1.3 + AES_128_GCM

记录一下调试 Nginx 使用 TLS 1.3+AES_128_GCM 时遇到的一些坑。

坑一

nginx环境中有其他站点没有启用 TLS 1.3 或者没有指定加密方式,所有站点均修改即可。

比如nginx下面有一个站只启用了 TLS 1.2,那么就算你其他站使用了 TLS 1.3,其他站也只能使用 TLS 1.2。

坑二

删除 nginx 配置里面的 ssl_prefer_server_ciphers on; 或改为 off ,才能使用 AES_128_GCM

示例:

    ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
    ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
    #ssl_prefer_server_ciphers on;
    ssl_session_cache shared:SSL:10m;
    ssl_session_timeout 10m;
    error_page 497  https://$host$request_uri;

标签: nginx, SSL

本作品由采用知识共享署名-非商业性使用-相同方式共享 4.0 国际许可协议进行许可。
本站文章除注明转载/出处外,均为本站原创或翻译,转载前请务必署名。知识共享许可协议

仅有一条评论

  1. 往事如风 往事如风

    有用, 感谢

    回复

添加新评论