Ответы:
Вы можете полностью отключить протокол SSLv3 на Stunnel.
Из документации по stunnel:
sslVersion = SSL_VERSION
выберите версию протокола SSL Разрешено
параметры: все, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2
Я добавил это в файл конфигурации:
sslVersion = TLSv1 TLSv1.1 TLSv1.2
И теперь я не могу соединиться с SSLv3 (используя openssl s_client -connect my.domain.com:443 -ssl3
)
ПРИМЕЧАНИЕ . Некоторые старые версии stunnel и OpenSSL не поддерживают TLSv1.2 (и даже TLSv1.1). В этом случае удалите их из sslVersion
директивы, чтобы избежать incorrect version of ssl protocol
ошибки.
если вы предпочитаете использовать более старый stunnel (например, 4.53 в вашей стабильной версии Debian), вы можете отключить SSLv2 и SSLv3 с помощью:
sslVersion = all
options = NO_SSLv2
options = NO_SSLv3
вместо того
sslVersion = TLSv1
что бы отключить TLSv1.1 и TLSv1.2 также.
Поскольку я не могу комментировать, я буду «отвечать» (извините).
В любом случае, я запускаю stunnel 5.01 и также получаю ошибку «неверная версия SSL» после изменения sslVersion:
[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol
Исправлено (для меня). Пришлось обновить stunnel до v5.06 (самый последний выпуск на сегодняшний день). Conf-файл точно такой же, так что я думаю, что между v5.01 и v5.06 происходит некое моджо, которое выходит за рамки простого смертного.