问题详情
(通过指定配置文件的方式)启动nginx,提示告警,nginx启动失败。
root@vultr:~# nginx -c /etc/nginx/conf/nginx.conf
nginx: [warn] invalid value "TLSv1.3" in /etc/nginx/conf/conf.d/v2ray.conf:20
问题原因
nginx版本过于老旧。
TLS是一个加密套件,nginx配置文件中 ssl_protocols 指令指定里 SSL/TLS 的版本。nginx在2017年04月25日发布的1.13.0版才开始支持TLSv1.3。
- TLS 1.0 于1999年发布为RFC 2246
- TLS 1.1 于2006年作为RFC 4346发布
- TLS 1.2 于2008年发布为RFC 5246
- TLS 1.3 于2018年8月作为建议标准在RFC 8446发布
关于SSL和TLS的起源、发展和技术细节(加密过程、握手过程等)可以参考:
SSL/TLS、对称加密和非对称加密和TLSv1.3_tinychen777的博客-CSDN博客
Nginx对TLS三个版本的支持情况
2018年3月21日,共经过28个版本的草案修订, TLS 1.3 得到了 IESG 批准,最终确定。TLS 1.3 和 TLS 1.2 版本有很大的不同,从协议消息的角度来看,两者是不兼容的,也正因为此,很多软件对 TLS 1.3 版本 较为滞后。
Nginx 底层使用的密码库是 OpenSSL,也就是说是否支持 TLS 1.3 版本,取决于 OpenSSL 库。
目前 Nginx 1.13 以上的版本支持 TLS 1.3 版本,OpenSSL 1.1.1 及以上版本支持 TLS 1.3 版本:TLS1.3 - OpenSSLWiki
OpenSSL 1.0.1以上的版本支持 TLS1.2
OpenSSL 1.1.1以上的版本支持 TLS1.3
解决方案
方案一:将配置文件中的TLSv1.3删除,不采用这种加密方式。
方案二:根据系统版本,选择合适的OpenSSL和Nginx版本进行升级。
可以查看本地的Nginx版本和OpenSSL版本:
nginx -V #查看nginx版本openssl version -a #查看OpenSSL版本
升级的参考教程:
升级nginx支持TLSv1.2 TLSv1.3 - 简书
版本支持:如何让Nginx快速支持TLS1.3协议详解 - Yingsoo Host
解决Ubuntu下升级openssh以及openssl全过程_ubuntu openssh_一只健忘的程序猿的博客-CSDN博客
延伸阅读:
浅谈 TLS 1.3_congxia1948的博客-CSDN博客
深入浅出学习透析Nginx服务器的基本原理和配置指南「Https安全控制篇」_nginx ssl_protocols_洛神灬殇的博客-CSDN博客