Bảo vệ chống lại SSL POODLE trên stunnel

Làm cách nào tôi có thể giảm thiểu lỗ hổng SSL POODLE khi sử dụng stunnel làm proxy ngược HTTPS?

Bạn có thể vô hiệu hóa giao thức SSLv3 trên stunnel hoàn toàn.

Từ tài liệu stunnel:

sslVersion = SSL_VERSION

chọn phiên bản giao thức SSL được phép

tùy chọn: tất cả, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

Tôi đã thêm nó vào tập tin cấu hình:

sslVersion = TLSv1 TLSv1.1 TLSv1.2

Và bây giờ tôi không thể kết nối với SSLv3 (sử dụng openssl s_client -connect my.domain.com:443 -ssl3)

LƯU Ý : Một số phiên bản cũ hơn của stunnel và OpenSSL không hỗ trợ TLSv1.2 (và thậm chí TLSv1.1). Trong trường hợp này, loại bỏ chúng khỏi sslVersionchỉ thị để tránh incorrect version of ssl protocollỗi.

nếu bạn thích gắn bó với các stunnel cũ hơn (như 4.53 trong Ổn định Debian của bạn), bạn có thể tắt SSLv2 và SSLv3 bằng:

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

thay vì

sslVersion = TLSv1

cũng sẽ vô hiệu hóa TLSv1.1 và TLSv1.2.

Vì tôi không thể bình luận, tôi sẽ "trả lời" (xin lỗi).

Dù sao, tôi đang chạy stunnel 5,01 và tôi cũng gặp lỗi "phiên bản SSL không chính xác" sau khi thực hiện thay đổi thành sslVersion:

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

Đã sửa (cho tôi). Phải nâng cấp stunnel lên v5,06 (bản phát hành mới nhất tính đến ngày hôm nay). Tệp Conf hoàn toàn giống nhau, vì vậy tôi đoán có một số mojo xảy ra giữa v5.01 và v5.06 vượt xa mọi người chỉ để hiểu.