尽管未在 Nginx 配置中启用 TLS v1.3 仍处于活动状态

使用 OpenSSL 1.1.0g 构建的 Nginx 1.14.1

OpenSSL 1.1.0 不支持 TLS 1.3

Ubuntu 服务器 18.04.1、OpenSSL 1.1.1 2018 年 9 月 11 日

Ubuntu 18.04.1 附带 OpenSSL 1.1.0g，而不是 OpenSSL 1.1.1。

我的猜测是，您以某种方式在系统上安装了 OpenSSL 1.1.1，从而取代了操作系统随附的版本。因为 nginx 使用共享库，它会使用您安装的 OpenSSL 1.1.1，即使它是针对 OpenSSL 1.1.0g 编译的。

仅启用 TLS 1.2 无法实现 nginx 中的选项ssl_protocols TLSv1.2;。相反，默认情况下会启用所有有用的协议，并将其限制为 TLS 1.2 实际上意味着除了 TLS 1.2 之外的所有协议都被禁用。但是，它只能禁用它知道的协议，并且鉴于 nginx 是针对没有 TLS 1.3 支持的 OpenSSL 版本编译的，它不知道 TLS 1.3 存在并且也无法禁用它，这意味着它保持启用状态。

看着评论：

显然 OpenSSL 版本安装在默认存储库上，因为我使用的是 sury.org PHP PPA。

要修复，您还需要安装 sury.org repo 版本的 nginx。在撰写本文时，此版本的 nginx 是使用 openssl 1.1.1b 和 TLS 1.3 构建的，如果我们使用替换默认 ubuntu openssl 包的 ondrej php7.3 库，则需要此版本。

我必须做同样的事情，因为我在 chrome 中收到 ERR_SSL_VERSION_INTERFERENCE ssl 错误。

前：

sudo nginx -V
built with OpenSSL 1.1.0g  2 Nov 2017 (running with OpenSSL 1.1.1b  26 Feb 2019)

运行以下命令：

sudo add-apt-repository ppa:ondrej/nginx
sudo apt update
sudo apt remove nginx
sudo apt install nginx

后：

sudo nginx -V
built with OpenSSL 1.1.1  11 Sep 2018 (running with OpenSSL 1.1.1b  26 Feb 2019)

此处的完整说明：

https://www.linuxbabe.com/ubuntu/enable-tls-1-3-nginx-ubuntu-18-10-18-04-16-04-14-04