Protection contre POODLE SSL sur stunnel

15

Comment puis-je atténuer la vulnérabilité SSL POODLE lorsque j'utilise stunnel comme proxy inverse HTTPS?

Sergey
la source

Réponses:

19

Vous pouvez désactiver complètement le protocole SSLv3 sur Stunnel.

De la documentation Stunnel:

sslVersion = SSL_VERSION

sélectionnez la version du protocole SSL autorisée

options: toutes, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

J'ai ajouté ceci au fichier de configuration:

sslVersion = TLSv1 TLSv1.1 TLSv1.2

Et maintenant je ne peux plus me connecter avec SSLv3 (en utilisant openssl s_client -connect my.domain.com:443 -ssl3)

REMARQUE : certaines anciennes versions de stunnel et d'OpenSSL ne prennent pas en charge TLSv1.2 (et même TLSv1.1). Dans ce cas, supprimez-les de la sslVersiondirective pour éviter les incorrect version of ssl protocolerreurs.

Sergey
la source
J'obtiens l'erreur suivante lorsque j'utilise sslVersion = d'en haut: Démarrage de stunnel: fichier /etc/stunnel/stunnel.conf ligne 6: version incorrecte du protocole SSL. C'est avec 4.29. Quelqu'un d'autre peut-il confirmer qu'il n'obtient pas cette erreur?
Ross
Certaines anciennes versions de stunnel ne prennent pas en charge TLSv1.2 ou TLSv1.1. Essayez de les supprimer en ne laissant que TLSv1. A confirmé que cela fonctionnait sur une ancienne installation.
Sergey
10

si vous préférez rester avec un stunnel plus ancien (comme le 4.53 dans votre écurie Debian), vous pouvez désactiver SSLv2 et SSLv3 avec:

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

au lieu de

sslVersion = TLSv1

ce qui désactiverait également TLSv1.1 et TLSv1.2.

Matija Nalis
la source
1
Cela fonctionne pour moi avec stunnel 4.53 (Debian) et un OpenSSL moderne (1.0.1e + correctifs de sécurité fournis par Debian). Je peux me connecter avec TLSv1.2. Yay!
Christopher Schultz
2

Comme je ne peux pas commenter, je vais "répondre" (désolé).

Quoi qu'il en soit, j'utilise stunnel 5.01 et j'obtiens également l'erreur "version incorrecte de SSL" après avoir apporté la modification à sslVersion:

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

Fixé (pour moi). J'ai dû mettre à niveau Stunnel vers la v5.06 (version la plus récente à ce jour). Le fichier de conf est exactement le même, donc je suppose qu'il y a un mojo entre v5.01 et v5.06 qui va au-delà d'un simple mortel pour comprendre.

Besoins locaux
la source