Nginx, HTTP/3 und eine TLS-Konfig, die tatsächlich aktuell für 2026 ist

Das Nginx-Mainline hat HTTP/3 + QUIC-Support seit 1.25 (2023). Die TLS-Konfig, die die meisten Teams immer noch ausliefern, wurde für die SSL-Labs-Ciphersuite-Kriege von 2018-2020 geschrieben und ist seitdem verrottet. Beides verdient eine Auffrischung.

Hier ist die Edge-TLS + HTTP/3-Konfig, die wir 2026 auf jedem gemanagten Nginx-Host deployen.

Auf QUIC neben HTTPS lauschen

server {
    listen 443 ssl;
    listen 443 quic reuseport;
    listen [::]:443 ssl;
    listen [::]:443 quic reuseport;
    http2 on;
    http3 on;
 
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers off;
    ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;
    ssl_session_tickets off;
    ssl_stapling on;
    ssl_stapling_verify on;
 
    add_header Alt-Svc 'h3=":443"; ma=86400';
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
}

Der Alt-Svc-Header ist das, was Clients dazu bringt, bei nachfolgenden Requests von HTTP/2 auf HTTP/3 zu upgraden.

Der vollständige Beitrag behandelt:

• TLS 1.3 — warum ssl_prefer_server_ciphers off 2026 die korrekte Einstellung ist
• Session-Tickets deaktivieren (Forward Secrecy ist mit wiederverwendeten Ticket-Schlüsseln nicht real)
• OCSP-Stapling mit ssl_stapling_verify — und wie man es überwacht
• Die Mozilla-„Intermediate"-Konfig und wo wir davon abweichen
• HTTP/3-Eigenheiten: UDP-Firewall-Regeln, Connection Migration, 0-RTT
• Cert-Renewal mit certbot + dem nginx-reload-Hook, der certbot renew übersteht
• Wöchentlicher SSL-Labs-Scan als CI-Job über die gesamte Flotte

Wir liefern diese Konfig auf jeder gemanagten Nginx-Installation aus.