Nginx踩坑记录(二) nginx: [warn] invalid value “TLSv1.3“ in /etc/nginx/nginx.conf:20

问题详情

Nginx踩坑记录(二) nginx: [warn] invalid value “TLSv1.3“ in /etc/nginx/nginx.conf:20_第1张图片(通过指定配置文件的方式)启动nginx,提示告警,nginx启动失败。

root@vultr:~# nginx -c /etc/nginx/conf/nginx.conf
nginx: [warn] invalid value "TLSv1.3" in /etc/nginx/conf/conf.d/v2ray.conf:20

问题原因

nginx版本过于老旧。

TLS是一个加密套件,nginx配置文件中 ssl_protocols 指令指定里 SSL/TLS 的版本。nginx在2017年04月25日发布的1.13.0版才开始支持TLSv1.3。

Nginx踩坑记录(二) nginx: [warn] invalid value “TLSv1.3“ in /etc/nginx/nginx.conf:20_第2张图片

  • TLS 1.0 于1999年发布为RFC 2246
  • TLS 1.1 于2006年作为RFC 4346发布
  • TLS 1.2 于2008年发布为RFC 5246
  • TLS 1.3 于2018年8月作为建议标准在RFC 8446发布

 关于SSL和TLS的起源、发展和技术细节(加密过程、握手过程等)可以参考:

SSL/TLS、对称加密和非对称加密和TLSv1.3_tinychen777的博客-CSDN博客

Nginx对TLS三个版本的支持情况

2018年3月21日,共经过28个版本的草案修订, TLS 1.3 得到了 IESG 批准,最终确定。TLS 1.3 和 TLS 1.2 版本有很大的不同,从协议消息的角度来看,两者是不兼容的,也正因为此,很多软件对 TLS 1.3 版本 较为滞后。

Nginx 底层使用的密码库是 OpenSSL,也就是说是否支持 TLS 1.3 版本,取决于 OpenSSL 库。

目前 Nginx 1.13 以上的版本支持 TLS 1.3 版本,OpenSSL 1.1.1 及以上版本支持 TLS 1.3 版本:TLS1.3 - OpenSSLWiki

OpenSSL 1.0.1以上的版本支持 TLS1.2

OpenSSL 1.1.1以上的版本支持 TLS1.3

解决方案

方案一:将配置文件中的TLSv1.3删除,不采用这种加密方式。

方案二:根据系统版本,选择合适的OpenSSL和Nginx版本进行升级。

可以查看本地的Nginx版本和OpenSSL版本:

nginx -V #查看nginx版本

openssl version -a #查看OpenSSL版本

Nginx踩坑记录(二) nginx: [warn] invalid value “TLSv1.3“ in /etc/nginx/nginx.conf:20_第3张图片

升级的参考教程:

升级nginx支持TLSv1.2 TLSv1.3 - 简书

版本支持:如何让Nginx快速支持TLS1.3协议详解 - Yingsoo Host

解决Ubuntu下升级openssh以及openssl全过程_ubuntu openssh_一只健忘的程序猿的博客-CSDN博客

延伸阅读:

浅谈 TLS 1.3_congxia1948的博客-CSDN博客

深入浅出学习透析Nginx服务器的基本原理和配置指南「Https安全控制篇」_nginx ssl_protocols_洛神灬殇的博客-CSDN博客

 

你可能感兴趣的:(nginx,运维,TLS,加密,https)