Nginx, HTTP/3 e uma config TLS de fato atual para 2026

O mainline do Nginx tem suporte a HTTP/3 + QUIC desde 1.25 (2023). A config TLS que a maioria dos times ainda entrega foi escrita para as guerras de ciphersuite do SSL Labs de 2018-2020 e apodreceu desde então. Os dois merecem uma renovação.

Esta é a config edge TLS + HTTP/3 que implantamos em cada host Nginx gerenciado em 2026.

Escutando em QUIC junto com HTTPS

server {
    listen 443 ssl;
    listen 443 quic reuseport;
    listen [::]:443 ssl;
    listen [::]:443 quic reuseport;
    http2 on;
    http3 on;
 
    ssl_protocols TLSv1.2 TLSv1.3;
    ssl_prefer_server_ciphers off;
    ssl_ciphers ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305;
    ssl_session_tickets off;
    ssl_stapling on;
    ssl_stapling_verify on;
 
    add_header Alt-Svc 'h3=":443"; ma=86400';
    add_header Strict-Transport-Security "max-age=63072000; includeSubDomains; preload" always;
}

O header Alt-Svc é o que faz os clientes fazerem upgrade de HTTP/2 para HTTP/3 em requisições subsequentes.

O artigo completo cobre:

• TLS 1.3 — por que ssl_prefer_server_ciphers off é o ajuste correto em 2026
• Desligar session tickets (forward secrecy não é real com chaves de ticket reutilizadas)
• OCSP stapling com ssl_stapling_verify — e como monitorar
• A config «Intermediate» da Mozilla e onde nos afastamos dela
• Peculiaridades do HTTP/3: regras de firewall UDP, migração de conexão, 0-RTT
• Renovação de cert com certbot + o hook nginx-reload que sobrevive a certbot renew
• Scan SSL Labs semanal como job de CI por toda a frota

Entregamos esta config em cada instalação Nginx gerenciada.