Nginx 使用 TLS 1.3 + AES_128_GCM
记录一下调试 Nginx 使用 TLS 1.3+AES_128_GCM 时遇到的一些坑。
坑一
nginx环境中有其他站点没有启用 TLS 1.3 或者没有指定加密方式,所有站点均修改即可。
比如nginx下面有一个站只启用了 TLS 1.2,那么就算你其他站使用了 TLS 1.3,其他站也只能使用 TLS 1.2。
坑二
删除 nginx 配置里面的ssl_prefer_server_ciphers on;
或改为off
,才能使用AES_128_GCM
示例:
ssl_protocols TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers ECDHE-RSA-AES128-GCM-SHA256:HIGH:!aNULL:!MD5:!RC4:!DHE;
#ssl_prefer_server_ciphers on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 10m;
error_page 497 https://$host$request_uri;