更新：本文不会继续更新了，请大家自行探索。

本文章为作者 Pt 原创，转载请遵守 CC BY 4.0 协议

更新：最新的 OpenSSL 1.1.1 beta 版本已经更新到了 Draft 28,目前看来只有Firefox Nightly和Chrome beta/dev/canary支持, BoringSSL 已经支持到了 Draft 28
更新：Chrome 65/66/67 稳定版已经支持了 Draft 23，通过 F12 的 Security 选项卡可以看到本站已经使用了 TLS 1.3
更新：使用最新的 nginx 1.14.0 和 openssl 1.1.1 pre7 版本，由于 pre7 版本是 Draft 28,所以我们需要打一个补丁使其同时支持 Draft 23 和 28。
目前 TLS 1.3的正式规范尚未发布，我们支持的只是一个草案，现在也都处于测试阶段。之前浏览器支持的是Draft 18,现在已经放弃了，开始支持Draft 23.

本站使用的Nginx版本是1.14.0,只有最新的1.13/1.14分支才能好的支持TLS 1.3.使用的OpenSSL版本是好多天前发布的OpenSSL 1.1.1-pre7,其携带了对TLS 1.3 Draft 28的支持。
注意：不要在正式环境使用，本文仅供研究测试之用，TLS 1.3现在并不适合部署到正式环境！！！小白用户最好也别折腾，乖乖等正式版吧。
首先先把他们的源码下载下来吧。
wget http://nginx.org/download/nginx-1.15.2.tar.gz
wget https://www.openssl.org/source/openssl-1.1.1-pre9.tar.gz
然后日常解压 接下来我们需要对 OpenSSL 打补丁
tar zxf openssl-1.1.1-pre9.tar.gz
cd openssl-1.1.1-pre9
wget https://raw.githubusercontent.com/hakasenyang/openssl-patch/master/openssl-equal-pre9.patch
patch -p1 < openssl-equal-pre9.patch
cd ..
tar zxf nginx-1.15.2.tar.gz
然后我觉得你肯定知道怎么编译nginx
cd nginx-1.15.2 先进入nginx的目录
./configure --your-config --with-openssl=../openssl-1.1.1-pre8 --with-http_v2_module --with-http_ssl_module
明白这意思吧 除非你没有编译过nginx
现在 你可以make了 make如果没有出现error 那就make install安装 之后重启nginx
但是 还没完 你需要修改你的配置文件来启用 TLS 1.3
用下面的替换你原先https配置里的参数
ssl_protocols TLSv1 TLSv1.1 TLSv1.2 TLSv1.3;
ssl_ciphers[EECDH+ECDSA+AESGCM+AES128|EECDH+ECDSA+CHACHA20]:EECDH+ECDSA+AESGCM+AES256:EECDH+ECDSA+AES128+SHA:EECDH+ECDSA+AES256+SHA:[EECDH+aRSA+AESGCM+AES128|EECDH+aRSA+CHACHA20]:EECDH+aRSA+AESGCM+AES256:EECDH+aRSA+AES128+SHA:EECDH+aRSA+AES256+SHA:RSA+AES128+SHA:RSA+AES256+SHA:RSA+3DES;这是我的配置，你可以改改。比如仅支持 TLS 1.2 和 TLS 1.3.
然后重新加载或重启nginx就生效啦。
我比较机智，把这两条写到了一个conf文件里，然后在需要用到的地方直接include，就避免了多次的重复粘贴，美滋滋
如何用浏览器验证是否开启了TLS 1.3呢? Chrome 65 Stable 已经添加了对 TLS 1.3 的支持，可以在 F12 Dev Tools 的 Security 选项卡查看。
或者直接下个Firefox Nightly,默认就启用了 TLS 1.3。
好了就到这里，如果有任何问题回复就行。

0

0