Nginx, HTTP/3 y una config TLS de verdad actual para 2026

El mainline de Nginx soporta HTTP/3 + QUIC desde 1.25 (2023). La config TLS que la mayoría de equipos sigue entregando se escribió para las guerras de ciphersuite de SSL Labs de 2018-2020 y se ha podrido desde entonces. Ambos merecen un refresco.

Esta es la config edge TLS + HTTP/3 que desplegamos en cada host Nginx gestionado en 2026.

Escuchar en QUIC junto con HTTPS

server {
    listen 443 ssl;
    listen 443 quic reuseport;
    listen [::]:443 ssl;
    listen [::]:443 quic reuseport;
    http2 on;
    http3 on;
 
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers off;
    ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;
    ssl_session_tickets off;
    ssl_stapling on;
    ssl_stapling_verify on;
 
    add_header Alt-Svc 'h3=":443"; ma=86400';
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
}

El header Alt-Svc es lo que hace que los clientes pasen de HTTP/2 a HTTP/3 en peticiones siguientes.

El artículo completo cubre:

• TLS 1.3 — por qué ssl_prefer_server_ciphers off es el ajuste correcto en 2026
• Desactivar session tickets (la forward secrecy no es real con claves de ticket reutilizadas)
• OCSP stapling con ssl_stapling_verify — y cómo monitorizarlo
• La config Mozilla «Intermediate» y dónde nos desviamos
• Rarezas de HTTP/3: reglas de firewall UDP, migración de conexión, 0-RTT
• Renovación de cert con certbot + el hook nginx-reload que sobrevive a certbot renew
• Escaneo semanal de SSL Labs como job de CI sobre toda la flota

Entregamos esta config en cada instalación Nginx gestionada.