Nginx, HTTP/3 et une config TLS réellement actuelle pour 2026

Le mainline Nginx supporte HTTP/3 + QUIC depuis 1.25 (2023). La config TLS que la plupart des équipes livrent encore a été écrite pour les guerres de ciphersuite SSL Labs de 2018-2020 et a pourri depuis. Les deux méritent un rafraîchissement.

Voici la config edge TLS + HTTP/3 que nous déployons sur chaque hôte Nginx managé en 2026.

Écouter sur QUIC à côté de HTTPS

server {
    listen 443 ssl;
    listen 443 quic reuseport;
    listen [::]:443 ssl;
    listen [::]:443 quic reuseport;
    http2 on;
    http3 on;
 
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers off;
    ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;
    ssl_session_tickets off;
    ssl_stapling on;
    ssl_stapling_verify on;
 
    add_header Alt-Svc 'h3=":443"; ma=86400';
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
}

Le header Alt-Svc est ce qui pousse les clients à passer de HTTP/2 à HTTP/3 sur les requêtes suivantes.

L'article complet couvre :

• TLS 1.3 — pourquoi ssl_prefer_server_ciphers off est le bon réglage en 2026
• Désactiver les session tickets (la forward secrecy n'est pas réelle avec des clés de ticket réutilisées)
• OCSP stapling avec ssl_stapling_verify — et comment le monitorer
• La config Mozilla « Intermediate » et là où nous nous en écartons
• Les quirks HTTP/3 : règles firewall UDP, migration de connexion, 0-RTT
• Renouvellement de cert avec certbot + le hook nginx-reload qui survit à certbot renew
• Scan SSL Labs hebdomadaire comme job CI sur toute la flotte

Nous livrons cette config sur chaque install Nginx managée.