Защита от POODLE SSL на stunnel


15

Как можно уменьшить уязвимость POODLE SSL при использовании stunnel в качестве обратного прокси-сервера HTTPS?

Ответы:


19

Вы можете полностью отключить протокол SSLv3 на Stunnel.

Из документации по stunnel:

sslVersion = SSL_VERSION

выберите версию протокола SSL Разрешено

параметры: все, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

Я добавил это в файл конфигурации:

sslVersion = TLSv1 TLSv1.1 TLSv1.2

И теперь я не могу соединиться с SSLv3 (используя openssl s_client -connect my.domain.com:443 -ssl3)

ПРИМЕЧАНИЕ . Некоторые старые версии stunnel и OpenSSL не поддерживают TLSv1.2 (и даже TLSv1.1). В этом случае удалите их из sslVersionдирективы, чтобы избежать incorrect version of ssl protocolошибки.


Я получаю следующую ошибку при использовании sslVersion = сверху: Запуск stunnel: file /etc/stunnel/stunnel.conf строка 6: Неверная версия протокола SSL. Это с 4.29. Кто-нибудь еще может подтвердить, что они не получают эту ошибку?
Росс

Некоторые старые версии stunnel не поддерживают TLSv1.2 или TLSv1.1. Попробуйте удалить их, оставив только TLSv1. Подтверждено, что это работает на более старой установке.
Сергей

10

если вы предпочитаете использовать более старый stunnel (например, 4.53 в вашей стабильной версии Debian), вы можете отключить SSLv2 и SSLv3 с помощью:

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

вместо того

sslVersion = TLSv1

что бы отключить TLSv1.1 и TLSv1.2 также.


1
Это работает для меня с stunnel 4.53 (Debian) и современным OpenSSL (1.0.1e + исправления безопасности, которые предоставляет Debian). Я могу подключиться к нему с помощью TLSv1.2. Ура!
Кристофер Шульц

2

Поскольку я не могу комментировать, я буду «отвечать» (извините).

В любом случае, я запускаю stunnel 5.01 и также получаю ошибку «неверная версия SSL» после изменения sslVersion:

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

Исправлено (для меня). Пришлось обновить stunnel до v5.06 (самый последний выпуск на сегодняшний день). Conf-файл точно такой же, так что я думаю, что между v5.01 и v5.06 происходит некое моджо, которое выходит за рамки простого смертного.

Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.