Nginx踩坑记录（二） nginx: [warn] invalid value “TLSv1.3“ in /etc/nginx/nginx.conf:20

问题详情

（通过指定配置文件的方式）启动nginx，提示告警，nginx启动失败。

root@vultr:~# nginx -c /etc/nginx/conf/nginx.conf
nginx: [warn] invalid value "TLSv1.3" in /etc/nginx/conf/conf.d/v2ray.conf:20

问题原因

nginx版本过于老旧。

TLS是一个加密套件，nginx配置文件中 ssl_protocols 指令指定里 SSL/TLS 的版本。nginx在2017年04月25日发布的1.13.0版才开始支持TLSv1.3。

• TLS 1.0 于1999年发布为RFC 2246
• TLS 1.1 于2006年作为RFC 4346发布
• TLS 1.2 于2008年发布为RFC 5246
• TLS 1.3 于2018年8月作为建议标准在RFC 8446发布

 关于SSL和TLS的起源、发展和技术细节（加密过程、握手过程等）可以参考：

SSL/TLS、对称加密和非对称加密和TLSv1.3_tinychen777的博客-CSDN博客

Nginx对TLS三个版本的支持情况

2018年3月21日，共经过28个版本的草案修订， TLS 1.3 得到了 IESG 批准，最终确定。TLS 1.3 和 TLS 1.2 版本有很大的不同，从协议消息的角度来看，两者是不兼容的，也正因为此，很多软件对 TLS 1.3 版本 较为滞后。

Nginx 底层使用的密码库是 OpenSSL，也就是说是否支持 TLS 1.3 版本，取决于 OpenSSL 库。

目前 Nginx 1.13 以上的版本支持 TLS 1.3 版本，OpenSSL 1.1.1 及以上版本支持 TLS 1.3 版本：TLS1.3 - OpenSSLWiki

OpenSSL 1.0.1以上的版本支持 TLS1.2

OpenSSL 1.1.1以上的版本支持 TLS1.3

解决方案

方案一：将配置文件中的TLSv1.3删除，不采用这种加密方式。

方案二：根据系统版本，选择合适的OpenSSL和Nginx版本进行升级。

可以查看本地的Nginx版本和OpenSSL版本：

nginx -V #查看nginx版本

openssl version -a #查看OpenSSL版本

升级的参考教程：

升级nginx支持TLSv1.2 TLSv1.3 - 简书

版本支持：如何让Nginx快速支持TLS1.3协议详解 - Yingsoo Host

解决Ubuntu下升级openssh以及openssl全过程_ubuntu openssh_一只健忘的程序猿的博客-CSDN博客

延伸阅读：

浅谈 TLS 1.3_congxia1948的博客-CSDN博客

深入浅出学习透析Nginx服务器的基本原理和配置指南「Https安全控制篇」_nginx ssl_protocols_洛神灬殇的博客-CSDN博客