前言

TLS 1.3 是最新的安全传输协议，目前已经被主流系统和浏览器支持了，主流网站（如 Google）也早已开启了 TLS 1.3 的支持。本文介绍如何在 Ubuntu 18.04 + Nginx 下开启 TLS 1.3 的支持。

升级 Ubuntu 和 Nginx

首先升级至 Ubuntu 18.04.3，这是当前的最新版本。如果想要在 Nginx 下启用 TLS 1.3 的全部特性，包括 0-RTT，建议使用 Nginx 的最新 Stable PPA。

使用 Nginx Stable PPA：

sudo add-apt-repository ppa:nginx/stable
sudo apt-get update
sudo apt-get upgrade

更新 Ubuntu 和 Nginx 后，就可以写配置文件启用 TLS 1.3 了。

修改配置文件以启用 TLS 1.3

编辑 /etc/nginx/nginx.conf 文件，在 http 那块，找到 ssl_protocols 这字段，将原先的修改为：

ssl_protocols TLSv1.2 TLSv1.3;

建议保留 TLSv1.2，这样在旧的设备和环境上依然可以保持正常的浏览和访问。修改后，重启 Nginx：

sudo systemctl restart nginx