前言
本文采用的环境为宝塔管理面板5.9,CentOS7.5,Nginx1.15。
必须得是Nginx1.15,经本人测试1.12与1.8均无法开启TLSv1.3
获取SSL证书
目前免费的SSL证书有很多,国内的主要有阿里云,腾讯云,七牛云等都可以申请一年期的免费DV证书,这里就不多说。
另外,再此安利一个可以一件申请Let’s Encrypt 与 TrustAsia CA 的免费 HTTPS 证书网站:FreeSSL ,申请比较方便。
今天发现了另一个可以免费申请Comodo证书的方法,通过GoGetSSL来申请,该方法将在改天更新,已更新,点此查看。
目前仅发现Let’s Encrypt 支持免费多域名通配符证书(*.example.com)申请,如有其他还请告知。
当然,你也可以使用宝塔自带的SSL申请程序,不过我用了几次,总是出现阿里云DNS API无法保存的问题,就放弃了。
SSL部署
如下图所示,在左侧输入密钥(private.key),右侧输入完整证书(full_chain.pem),点击保存就可,有需要的话还可以勾上强制HTTPS。
OpenSSL版本
更新Nginx至最新版本1.15.6,宝塔版本6.5,此时Openssl已被更新至Openssl 1.1.1正式版。 
升级curl(以下代码来自Sagit)
添加一个新的repo
vim /etc/yum.repos.d/city-fan.repo在里面添加内容
[CityFan]
name=City Fan Repo
baseurl=http://nervion.us.es/city-fan/yum-repo/rhel$releasever/$basearch/
enabled=1
gpgcheck=0升级
yum clean all
yum install libcurl
服务端配置
如下图所示,
在ssl_protocols后面加TLSv1.3,
(强迫症选项)可以选择删除TLSv1,因为TLSv1不合PCI DSS规范。
ssl_ciphers后面写
TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:RSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:RSA+AES256:EECDH+ECDSA+3DES:EECDH+aRSA+3DES:RSA+3DES:!MD5;(强迫症选项)上面的加密套件使用MySSL检测的话会像下图一样会有weak项, 
若是像我这样有强迫症可以选择下面的加密套件,对网站的访问几乎没有影响。
TLS13-AES-256-GCM-SHA384:TLS13-CHACHA20-POLY1305-SHA256:TLS13-AES-128-GCM-SHA256:EECDH+CHACHA20:EECDH+CHACHA20-draft:EECDH+ECDSA+AES128:EECDH+aRSA+AES128:EECDH+ECDSA+AES256:EECDH+aRSA+AES256:!MD5;下图为修改完后效果,
修改完成后保存退出即可。
浏览器配置
当然,TLSv1.3还没有被主流浏览器默认启用,我用的Chrome69正式版在flag里开启TLS1.3(Draft 28)仍无法进行此处的TLSv1.3连接,用Chromium在flag里开启TLSv1.3(Final)也可以以TLSv1.3进行此处的连接。
Chrome正式版已更新到70,可以在flags里面开启TLS1.3(Final)了。
开启办法:用Chrome浏览器打开 chrome://flags 搜索TLS即可找到选项。
参考文章
本文采用的SSL/TLS安全评估报告来自MySSL,可进入MySSL官网来了解本站HTTPS的安全性。