我正在尝试将我的网络服务器(来自 Debian 测试的 Apache 2.4.34)mod_ssl切换mod_gnutls为 TLS1.3 支持。我尝试了Debian 测试中的mod_gnutls0.8.4、3.5.19 libgnutls(当然只有 TLS 1.2)和实验性的最新版本(启用或不启用 TLS 1.3)
我的配置
GnuTLSEnable On
GnuTLSPriorities PFS:-3DES-CBC:%SERVER_PRECEDENCE
(GnuTLSDHFile /etc/ssl/dh4096.pem)
GnuTLSCertificateFile /etc/ssl/fullchain.pem
GnuTLSKeyFile /etc/ssl/privkey.pem
(GnuTLSExportCertificates on)
() 中的设置我尝试过使用和不使用它们。
我什至尝试了 Mozilla wiki 和其他各种中的 GnuTLSPriorities,但是当我启用 GnuTLS 时,所有最新浏览器的 TLS 握手都失败了。SSLabs 扫描也证实了这一点。应该有大量支持的密码处于活动状态。看来我在这里遗漏了一些重要的设置。有任何想法吗?
Firefox 只是说: SSL_ERROR_RX_UNKNOWN_ALERT
