在本教程中，我们将使用支持TLS 1.3的OpenSSL 1.1.1版的最新安全套件。
作为性能部分，Let’s Encrypt SSL。
它应该是轻量级的。
这样一来，将减少加载的时间。
AES-128位密码提供了一流的支持，并支持轻量级加密。
最重要的是，我们将使用AES-128位而不是AES-256位。
默认情况下，Nginx Web服务器使用AES-256位加密。
本教程将启用AES-128位密码，以便我们和Web应用程序的加载比以往更快。

TLS 1.3简介

当前的Web浏览器和Web服务器通常使用TLS 1.3.
保护通过Internet发送的数据。
需要使用更现代和最新的密码学实践对其进行更新。
TLS 1.3是TLS协议的一项重大改进，具有两个主要优点，即增强了安全性并提高了速度。
让我们更详细地看一下这些改进中的每一个，以便以更少的安全性增强安全性。

TLS 1.3的密码学

TLS 1.3删除了对过时加密的支持。
从而提高了安全性。
减少由于不安全的密码套件而导致会话中断的可能性。
其他一些形式的弱密码术，用于删除密码术。
过时的加密技术包括诸如静态RSA和diffie-hellman密钥交换之类的功能。
TLS 1.3还删除了不安全的功能，例如压缩和重新协商。
这不是一个完整列表，我们应该查看RFC了解更多详细信息。

步骤1：编辑Nginx配置文件

在基于Ubuntu/Debian的发行版上

# vi /etc/nginx/sites-available/theitroad.com.conf

在基于RHEL/CentOS的发行版上

# vi /etc/nginx/conf.d/theitroad.com.conf

在服务器块中找到给定的行

server {
listen 443 ssl;
ssl_prefer_server_ciphers on;
ssl_ciphers 'EECDH+AESGCM:EDH+AESGCM:AES256+EECDH:AES256+EDH';
}

换成

server {
listen 443 ssl http2;
ssl_prefer_server_ciphers off;
ssl_ciphers 'TLS13+AESGCM+AES128:EECDH+AES128';
ssl_early_data on;
}

完成后，使用：wq保存并退出vi编辑器

步骤2：重新启动Nginx服务

更改配置文件后。
我们将需要重新启动服务，以使更改生效。

# systemctl restart nginx

步骤3：128位密码测试

打开Web浏览器，然后点击https://www.theitroad.com上的绿色挂锁。
点击后，查看信息。

我们已在Nginx Web服务器上启用了具有128位SSL密码的TLS 1.3.