开启 TLS 1.3 最稳妥的方案是同时保留 TLS 1.2 作为兼容兜底,既能让新设备享受 1-RTT 握手提速,又不至于让老旧系统无法访问。
先说结论:生产环境建议采用“TLS 1.3 优先 + TLS 1.2 兼容”的混合策略,在确保安全性提升的同时避免断连风险。
- 适合:面向公众的 Web 服务、API 接口及需要合规的业务系统
- 先准备:确认 OpenSSL ≥ 1.1.1 且 Nginx ≥ 1.13.0,避免环境不支持导致配置失效
- 验收:通过命令行工具验证握手协议版本,并监控旧客户端连接占比
- 风险提示:0-RTT 功能存在重放攻击风险,非幂等接口严禁开启
命令速用版
openssl version nginx -V openssl ciphers -v -tls1_3
若 OpenSSL 版本低于 1.1.1,需升级系统库或重新编译 Nginx;若 cipher 命令无输出,说明底层未启用 TLS 1.3 支持。注意 OpenSSL 1.1.1 及以上版本才支持 -tls1_3 参数。
为什么会这样
TLS 1.3 在 2018 年正式标准化(RFC 8446),核心改进是握手流程重构。传统 TLS 1.2 建立连接需要 2 个网络往返(2-RTT),而 TLS 1.3 将首次连接压缩至 1-RTT,重复连接甚至可实现 0-RTT。这意味着在高延迟网络下,加密握手耗时理论上可减少一半。同时,协议移除了 RSA 密钥交换等老旧算法,强制使用前向保密(PFS),即使服务器私钥泄露,历史通信也无法被解密。
分步处理
1. 环境检测与升级
先确认底层库支持。在服务器执行 openssl version,若显示 1.0.2 或 1.1.0,需升级至 1.1.1 或更高。
Ubuntu/Debian 系统:
sudo apt update sudo apt install openssl
CentOS 7 系统:
注意:直接升级系统 OpenSSL 可能影响 yum 等工具,建议通过源码编译或使用 SCL 源,生产环境操作前务必备份。
# 检查当前版本 openssl version # 若需编译升级,需下载源码包 configure `--prefix`=/usr/local/openssl ... make && make install
2. 配置 Nginx
在 server 块中明确指定协议和加密套件。Nginx 1.13.0+ 支持 TLS 1.3,建议使用 ssl_tls13_ciphers 专门管理 TLS 1.3 套件,ssl_ciphers 管理 TLS 1.2 套件,避免混淆。
server {
listen 443 ssl http2;
server_name example.com;
ssl_certificate /etc/nginx/ssl/cert.pem;
ssl_certificate_key /etc/nginx/ssl/key.pem;
# 协议版本:同时开启 1.2 和 1.3
ssl_protocols TLSv1.2 TLSv1.3;
# TLS 1.2 专用套件(禁止使用 SSLv3 等弱加密)
ssl_ciphers 'ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384';
ssl_prefer_server_ciphers on;
# TLS 1.3 专用套件(Nginx 1.13.0+)
ssl_tls13_ciphers 'TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:TLS_AES_128_GCM_SHA256';
# 会话复用
ssl_session_tickets on;
ssl_session_cache shared:SSL:10m;
ssl_session_timeout 1d;
# 0-RTT 配置(需谨慎,见下文风险说明)
# ssl_early_data on;
location / {
proxy_pass http://backend;
}
}3. 谨慎开启 0-RTT
若需极致速度,可添加 ssl_early_data on;,但必须配合后端校验。0-RTT 存在重放攻击风险,不建议用于非幂等请求(如 POST/PUT),涉及用户状态变更的操作必须二次校验 Token 或 Session。
怎么验证是否生效
浏览器开发者工具的 Security 标签页显示 TLS 1.3 仅代表协议版本,不代表 0-RTT 生效。建议使用命令行验证:
openssl s_client -connect 你的域名:443 -tls1_3
预期输出示例:
... New, TLSv1.3, Cipher is TLS_AES_256_GCM_SHA384 Protocol : TLSv1.3 ... Early data: not sent (no early data configured) ...
观察输出中是否包含 Protocol : TLSv1.3。若开启了 0-RTT 并发送早期数据,需观察是否有 Early data 相关标识。同时监控日志,确认 TLS 1.3 连接占比是否随时间上升。
常见坑
1. 0-RTT 安全风险:直接开启 ssl_early_data 而不做后端校验,可能导致重放攻击。业务层必须区分 GET 缓存请求和状态变更请求。对于支付、下单等接口,务必禁用 0-RTT。
2. 旧设备兼容:虽然现代浏览器均支持,但企业内网老旧设备或特定 IoT 设备可能仅支持 TLS 1.2。完全禁用 TLS 1.2 会导致这部分用户无法访问,建议保留 TLS 1.2 作为兜底。
3. 配置静默失效:若证书权限不足或 SELinux 策略限制,Nginx 可能启动成功但 0-RTT 静默失效。需检查文件权限及系统策略。另外,部分旧版 Nginx 编译时未链接新版 OpenSSL,即使配置了 TLS 1.3 也无法生效,需通过 nginx -V 确认编译参数。
4. 指令兼容性:低版本 Nginx 不支持 ssl_tls13_ciphers 指令,若使用该指令启动报错,请降级使用 ssl_ciphers 统一管理,但需注意 TLS 1.3 套件格式与 1.2 不同。