Stunnel'de POODLE SSL'ye karşı koruma

Stunnel'i HTTPS ters proxy olarak kullanırken POODLE SSL güvenlik açığını nasıl azaltabilirim?

Stunnel'de SSLv3 protokolünü tamamen devre dışı bırakabilirsiniz.

Stunnel belgelerinden:

sslVersion = SSL_VERSION

SSL protokolünün sürümünü seçin İzin verildi

seçenekler: tümü, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

Bunu yapılandırma dosyasına ekledim:

sslVersion = TLSv1 TLSv1.1 TLSv1.2

Ve şimdi SSLv3 ile bağlanamıyorum (kullanarak openssl s_client -connect my.domain.com:443 -ssl3)

NOT : Stunnel ve OpenSSL'nin bazı eski sürümleri TLSv1.2'yi (ve TLSv1.1'i) desteklemez. Bu durumda, hatayı sslVersionönlemek için bunları yönergeden kaldırın incorrect version of ssl protocol.

eski stunnellere (Debian Stable'ınızdaki 4.53 gibi) bağlı kalmayı tercih ederseniz, SSLv2 ve SSLv3'ü aşağıdakilerle devre dışı bırakabilirsiniz:

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

onun yerine

sslVersion = TLSv1

TLSv1.1 ve TLSv1.2'yi de devre dışı bırakır.

Yorum yapamadığım için "cevaplayacağım" (özür dilerim).

Her neyse, stunnel 5.01 çalıştırıyorum ve ayrıca sslVersion değişiklik yaptıktan sonra "SSL yanlış sürümü" hatası alıyorum:

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

Düzeltildi (benim için). Stunnel'i v5.06'ya yükseltmek zorunda kaldım (bugünkü en güncel sürüm). Conf dosyası tam olarak aynı, bu yüzden v5.01 ve v5.06 arasında anlamak için sadece ölümcül ötesine geçerken bazı mojo olduğunu tahmin ediyorum.