在 Ubuntu 18.04 + Nginx 的环境下启用 TLS 1.3

TLS 1.3 是最新的安全传输协议，目前已经被主流系统和浏览器支持了，主流网站（如 Google）也早已开启了 TLS 1.3 的支持。本文介绍如何在 Ubuntu 18.04 + Nginx 下开启 TLS 1.3 的支持。

升级 Ubuntu 和 Nginx

首先升级至当前的最新版本。如果想要在 Nginx 下启用 TLS 1.3 的全部特性，包括 0-RTT，建议使用 Nginx 的最新 Stable PPA。

使用 Nginx Stable PPA：

sudo add-apt-repository ppa:nginx/stable
sudo apt-get update
sudo apt-get upgrade

更新 Ubuntu 和 Nginx 后，就可以写配置文件启用 TLS 1.3 了。

修改配置文件以启用 TLS 1.3

编辑 /etc/nginx/nginx.conf 文件，在 http 那块，找到 ssl_protocols 这字段，将原先的修改为：

ssl_protocols TLSv1.2 TLSv1.3;

建议保留 TLSv1.2，这样在旧的设备和环境上依然可以保持正常的浏览和访问。修改后，重启 Nginx：

sudo systemctl restart nginx

生效和验证

就这么简单，TLS 1.3 就启用成功了，那么如何验证网站是否启用成功了？只需要打开 Chrome，进入 Develop Tools，选择 Security 这个标签，接下去访问你的网站，待网站加载成功后，如果在 Connection 的 Protocol 看到了 TLS 1.3，那么就说明启用成功了。

总结

虽然开启 TLS 1.3 对于我这样的小站来说不会有什么质的提升，但是对于大型网站来说，比如 Google、Cloudflare，他们早就利用这个技术带来了全方位的显著提升。

更主要的是，现在主流操作系统和浏览器都支持了，那么何不也同步更新到新技术呢。

扩展阅读

在 Ubuntu 18.04 + Nginx 的环境下启用 TLS 1.3：https://imtx.me/archives/2812.html