Jawaban:
Anda dapat menonaktifkan protokol SSLv3 di stunnel sama sekali.
Dari dokumentasi stunnel:
sslVersion = SSL_VERSION
pilih versi protokol SSL Diizinkan
opsi: semua, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2
Saya telah menambahkan ini ke file konfigurasi:
sslVersion = TLSv1 TLSv1.1 TLSv1.2
Dan sekarang saya tidak dapat terhubung dengan SSLv3 (menggunakan openssl s_client -connect my.domain.com:443 -ssl3
)
CATATAN : Beberapa versi stunnel dan OpenSSL yang lama tidak mendukung TLSv1.2 (dan bahkan TLSv1.1). Dalam hal ini, hapus dari sslVersion
direktif untuk menghindari incorrect version of ssl protocol
kesalahan.
jika Anda lebih suka menggunakan stunnel lama (seperti 4.53 di Debian Stable Anda), Anda dapat menonaktifkan SSLv2 dan SSLv3 dengan:
sslVersion = all
options = NO_SSLv2
options = NO_SSLv3
dari pada
sslVersion = TLSv1
yang akan menonaktifkan TLSv1.1 dan TLSv1.2 juga.
Karena saya tidak bisa berkomentar, saya akan "menjawab" (maaf).
Lagi pula, saya menjalankan stunnel 5.01 dan saya juga mendapatkan kesalahan "versi SSL yang salah" setelah melakukan perubahan ke sslVersion:
[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol
Diperbaiki (untuk saya). Harus meng-upgrade stunnel ke v5.06 (rilis terbaru saat ini). File conf persis sama jadi saya kira ada beberapa Mojo terjadi antara v5.01 dan v5.06 yang melampaui manusia biasa untuk mengerti.