Melindungi terhadap POODLE SSL pada stunnel


15

Bagaimana saya bisa mengurangi kerentanan POODLE SSL saat menggunakan stunnel sebagai HTTPS reverse proxy?

Jawaban:


19

Anda dapat menonaktifkan protokol SSLv3 di stunnel sama sekali.

Dari dokumentasi stunnel:

sslVersion = SSL_VERSION

pilih versi protokol SSL Diizinkan

opsi: semua, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

Saya telah menambahkan ini ke file konfigurasi:

sslVersion = TLSv1 TLSv1.1 TLSv1.2

Dan sekarang saya tidak dapat terhubung dengan SSLv3 (menggunakan openssl s_client -connect my.domain.com:443 -ssl3)

CATATAN : Beberapa versi stunnel dan OpenSSL yang lama tidak mendukung TLSv1.2 (dan bahkan TLSv1.1). Dalam hal ini, hapus dari sslVersiondirektif untuk menghindari incorrect version of ssl protocolkesalahan.


Saya mendapatkan kesalahan berikut ketika saya menggunakan sslVersion = dari atas: Mulai stunnel: file /etc/stunnel/stunnel.conf baris 6: Versi protokol SSL salah. Ini dengan 4,29. Adakah yang bisa mengkonfirmasi bahwa mereka tidak mendapatkan kesalahan ini?
Ross

Beberapa versi stunnel yang lama tidak mendukung TLSv1.2 atau TLSv1.1. Coba hapus itu, tinggalkan hanya TLSv1. Mengonfirmasi ini berfungsi pada instalasi yang lebih lama.
Sergey

10

jika Anda lebih suka menggunakan stunnel lama (seperti 4.53 di Debian Stable Anda), Anda dapat menonaktifkan SSLv2 dan SSLv3 dengan:

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

dari pada

sslVersion = TLSv1

yang akan menonaktifkan TLSv1.1 dan TLSv1.2 juga.


1
Ini berfungsi untuk saya dengan stunnel 4.53 (Debian) dan OpenSSL modern (1.0.1e + tambalan keamanan yang disediakan Debian). Saya dapat terhubung dengannya menggunakan TLSv1.2. Yay!
Christopher Schultz

2

Karena saya tidak bisa berkomentar, saya akan "menjawab" (maaf).

Lagi pula, saya menjalankan stunnel 5.01 dan saya juga mendapatkan kesalahan "versi SSL yang salah" setelah melakukan perubahan ke sslVersion:

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

Diperbaiki (untuk saya). Harus meng-upgrade stunnel ke v5.06 (rilis terbaru saat ini). File conf persis sama jadi saya kira ada beberapa Mojo terjadi antara v5.01 dan v5.06 yang melampaui manusia biasa untuk mengerti.

Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.