Comment puis-je atténuer la vulnérabilité SSL POODLE lorsque j'utilise stunnel comme proxy inverse HTTPS?
15
Vous pouvez désactiver complètement le protocole SSLv3 sur Stunnel.
De la documentation Stunnel:
sslVersion = SSL_VERSION
sélectionnez la version du protocole SSL autorisée
options: toutes, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2
J'ai ajouté ceci au fichier de configuration:
sslVersion = TLSv1 TLSv1.1 TLSv1.2
Et maintenant je ne peux plus me connecter avec SSLv3 (en utilisant openssl s_client -connect my.domain.com:443 -ssl3
)
REMARQUE : certaines anciennes versions de stunnel et d'OpenSSL ne prennent pas en charge TLSv1.2 (et même TLSv1.1). Dans ce cas, supprimez-les de la sslVersion
directive pour éviter les incorrect version of ssl protocol
erreurs.
si vous préférez rester avec un stunnel plus ancien (comme le 4.53 dans votre écurie Debian), vous pouvez désactiver SSLv2 et SSLv3 avec:
au lieu de
ce qui désactiverait également TLSv1.1 et TLSv1.2.
la source
Comme je ne peux pas commenter, je vais "répondre" (désolé).
Quoi qu'il en soit, j'utilise stunnel 5.01 et j'obtiens également l'erreur "version incorrecte de SSL" après avoir apporté la modification à sslVersion:
Fixé (pour moi). J'ai dû mettre à niveau Stunnel vers la v5.06 (version la plus récente à ce jour). Le fichier de conf est exactement le même, donc je suppose qu'il y a un mojo entre v5.01 et v5.06 qui va au-delà d'un simple mortel pour comprendre.
la source