Захист від POODLE SSL на оглушення

Як я можу зменшити вразливість POODLE SSL при використанні stunnel як зворотного проксі-сервера HTTPS?

Ви можете повністю відключити протокол SSLv3 на оглушення.

З документації про оглушення:

sslVersion = SSL_VERSION

Виберіть версію протоколу SSL Дозволено

параметри: всі, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

Я додав це до конфігураційного файлу:

sslVersion = TLSv1 TLSv1.1 TLSv1.2

І тепер я не в змозі підключитися до SSLv3 (використовуючи openssl s_client -connect my.domain.com:443 -ssl3)

ПРИМІТКА . Деякі старіші версії stunnel і OpenSSL не підтримують TLSv1.2 (і навіть TLSv1.1). У цьому випадку видаліть їх із sslVersionдирективи, щоб уникнути incorrect version of ssl protocolпомилок.

якщо ви віддаєте перевагу дотримуватися більш старого оглушення (наприклад, 4.53 у вашому Debian Stable), ви можете відключити SSLv2 та SSLv3 за допомогою:

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

замість

sslVersion = TLSv1

що також відключить TLSv1.1 і TLSv1.2.

Оскільки я не можу коментувати, я "відповім" (вибачте).

У будь-якому випадку, я запускаю оглушення 5.01 і отримую помилку "неправильної версії SSL" після внесення змін у sslVersion:

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

Виправлено (для мене). Довелося оновити stunnel до v5.06 (найсучасніший випуск на сьогодні). Конфігураційний файл точно такий же, тому я думаю, що між v5.01 та v5.06 трапляється якесь моджо, що виходить за рамки простого смертного для розуміння.