Ochrona przed POODLE SSL na stunnel

15

Jak mogę zminimalizować podatność POODLE SSL, gdy stunnel jest odwrotnym proxy HTTPS?

Siergiej
źródło

Odpowiedzi:

19

Możesz całkowicie wyłączyć protokół SSLv3 na stunnel.

Z dokumentacji stunnela:

sslVersion = SSL_VERSION

wybierz wersję protokołu SSL dozwoloną

opcje: wszystkie, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

Dodałem to do pliku konfiguracyjnego:

sslVersion = TLSv1 TLSv1.1 TLSv1.2

A teraz nie jestem w stanie połączyć się z SSLv3 (używając openssl s_client -connect my.domain.com:443 -ssl3)

UWAGA : Niektóre starsze wersje programów stunnel i OpenSSL nie obsługują TLSv1.2 (a nawet TLSv1.1). W takim przypadku usuń je z sslVersiondyrektywy, aby uniknąć incorrect version of ssl protocolbłędu.

Siergiej
źródło
Otrzymuję następujący błąd, gdy używam sslVersion = z góry: Uruchamianie stunnel: plik /etc/stunnel/stunnel.conf wiersz 6: Niepoprawna wersja protokołu SSL. Dotyczy to wersji 4.29. Czy ktoś może potwierdzić, że nie pojawia się ten błąd?
Ross
Niektóre starsze wersje programu stunnel nie obsługują TLSv1.2 ani TLSv1.1. Spróbuj je usunąć, pozostawiając tylko TLSv1. Potwierdzono, że działa to na starszej instalacji.
Siergiej
10

jeśli wolisz trzymać się starszego stunnela (takiego jak 4.53 w twojej Debian Stable), możesz wyłączyć SSLv2 i SSLv3 za pomocą:

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

zamiast

sslVersion = TLSv1

co wyłączyłoby również TLSv1.1 i TLSv1.2.

Matija Nalis
źródło
1
Działa to dla mnie z stunnel 4.53 (Debian) i nowoczesnym OpenSSL (1.0.1e + łatki bezpieczeństwa, które zapewnia Debian). Mogę się z nim połączyć za pomocą TLSv1.2. Tak!
Christopher Schultz,
2

Ponieważ nie mogę komentować, „odpowiem” (przepraszam).

W każdym razie uruchamiam stunnel 5.01 i po wprowadzeniu zmiany na sslVersion pojawia się błąd „niepoprawna wersja SSL”:

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

Naprawiono (dla mnie). Musiałem zaktualizować stunnel do wersji 5.06 (najnowsza wersja na dziś). Plik Conf jest dokładnie taki sam, więc myślę, że między wersją 5.01 a wersją 5.06 dzieje się trochę mojo, które wykracza poza zwykłego śmiertelnika.

Lokalne potrzeby
źródło