Как я могу уменьшить уязвимость POODLE SSL при использовании stunnel в качестве обратного прокси HTTPS?
Вы можете полностью отключить протокол SSLv3 на stunnel.
Из документации по stunnel:
sslVersion = SSL_VERSION
выберите версию протокола SSL Разрешено
варианты: все, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2
Я добавил это в файл конфигурации:
sslVersion = TLSv1 TLSv1.1 TLSv1.2
И теперь я не могу подключиться к SSLv3 (используя openssl s_client -connect my.domain.com:443 -ssl3)
НОТА: Некоторые старые версии stunnel и OpenSSL не поддерживают TLSv1.2 (и даже TLSv1.1). В этом случае удалите их из sslVersion директива избегать incorrect version of ssl protocol ошибка.
если вы предпочитаете использовать старый stunnel (например, 4.53 в вашей стабильной версии Debian), вы можете отключить SSLv2 и SSLv3 с помощью:
sslVersion = all
options = NO_SSLv2
options = NO_SSLv3
вместо того
sslVersion = TLSv1
что также отключит TLSv1.1 и TLSv1.2.
Поскольку я не могу комментировать, я «отвечу» (извините).
В любом случае, я использую stunnel 5.01, и после внесения изменений в sslVersion я получаю сообщение об ошибке «неправильная версия SSL»:
[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol
Исправлено (у меня). Пришлось обновить stunnel до v5.06 (самая последняя версия на сегодняшний день). Файл conf точно такой же, поэтому я предполагаю, что между версиями v5.01 и v5.06 происходит какое-то моджо, которое не может понять простой смертный.