Ochrona przed POODLE SSL na stunnel

Jak mogę zminimalizować podatność POODLE SSL, gdy stunnel jest odwrotnym proxy HTTPS?

Możesz całkowicie wyłączyć protokół SSLv3 na stunnel.

Z dokumentacji stunnela:

sslVersion = SSL_VERSION

wybierz wersję protokołu SSL dozwoloną

opcje: wszystkie, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

Dodałem to do pliku konfiguracyjnego:

sslVersion = TLSv1 TLSv1.1 TLSv1.2

A teraz nie jestem w stanie połączyć się z SSLv3 (używając openssl s_client -connect my.domain.com:443 -ssl3)

UWAGA : Niektóre starsze wersje programów stunnel i OpenSSL nie obsługują TLSv1.2 (a nawet TLSv1.1). W takim przypadku usuń je z sslVersiondyrektywy, aby uniknąć incorrect version of ssl protocolbłędu.

jeśli wolisz trzymać się starszego stunnela (takiego jak 4.53 w twojej Debian Stable), możesz wyłączyć SSLv2 i SSLv3 za pomocą:

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

zamiast

sslVersion = TLSv1

co wyłączyłoby również TLSv1.1 i TLSv1.2.

Ponieważ nie mogę komentować, „odpowiem” (przepraszam).

W każdym razie uruchamiam stunnel 5.01 i po wprowadzeniu zmiany na sslVersion pojawia się błąd „niepoprawna wersja SSL”:

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

Naprawiono (dla mnie). Musiałem zaktualizować stunnel do wersji 5.06 (najnowsza wersja na dziś). Plik Conf jest dokładnie taki sam, więc myślę, że między wersją 5.01 a wersją 5.06 dzieje się trochę mojo, które wykracza poza zwykłego śmiertelnika.