Jak mogę zminimalizować podatność POODLE SSL, gdy stunnel jest odwrotnym proxy HTTPS?
15
Możesz całkowicie wyłączyć protokół SSLv3 na stunnel.
Z dokumentacji stunnela:
sslVersion = SSL_VERSION
wybierz wersję protokołu SSL dozwoloną
opcje: wszystkie, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2
Dodałem to do pliku konfiguracyjnego:
sslVersion = TLSv1 TLSv1.1 TLSv1.2
A teraz nie jestem w stanie połączyć się z SSLv3 (używając openssl s_client -connect my.domain.com:443 -ssl3
)
UWAGA : Niektóre starsze wersje programów stunnel i OpenSSL nie obsługują TLSv1.2 (a nawet TLSv1.1). W takim przypadku usuń je z sslVersion
dyrektywy, aby uniknąć incorrect version of ssl protocol
błędu.
jeśli wolisz trzymać się starszego stunnela (takiego jak 4.53 w twojej Debian Stable), możesz wyłączyć SSLv2 i SSLv3 za pomocą:
zamiast
co wyłączyłoby również TLSv1.1 i TLSv1.2.
źródło
Ponieważ nie mogę komentować, „odpowiem” (przepraszam).
W każdym razie uruchamiam stunnel 5.01 i po wprowadzeniu zmiany na sslVersion pojawia się błąd „niepoprawna wersja SSL”:
Naprawiono (dla mnie). Musiałem zaktualizować stunnel do wersji 5.06 (najnowsza wersja na dziś). Plik Conf jest dokładnie taki sam, więc myślę, że między wersją 5.01 a wersją 5.06 dzieje się trochę mojo, które wykracza poza zwykłego śmiertelnika.
źródło