如何禁用stunnel4中的安全客户端启动的重新协商? 我在Ubuntu 14.04上使用版本stunnel 4.53-1.1ubuntu1,使用OpenSSL 1.0.1f使用OpenSSL 1.0.1f,使用OpenSSL 1.0.1e在Debian Wheezy上使用strenel 4.53-1.1。
stunnel文档列出了一个选项:
重新协商=是| 没有
支持SSL重新协商
但不幸的是,这导致了以下错误:
第70行:“renegotiation = no”:指定的选项名称在此处无效
但是这个选项在哪里有效? 我尝试了单一的服务(无论如何没有任何意义),但也没有效果。 文档不是很详细,关于这一点,我找不到任何有关search引擎的信息。
有没有人有线索,如何得到这个权利?
我使用了下面的最小configuration:
pid=/stunnel4.pid debug = 5 output = /var/log/stunnel4/stunnel.log cert = /etc/ssl/certs/ssl-cert-snakeoil.pem key = /etc/ssl/private/ssl-cert-snakeoil.key renegotiation = no [https] accept = 443 connect = localhost:8000 这些testing表明,重新协商是支持的:
Qualys的ssltest显示:
安全客户端启动的重新协商:支持的DoS危险(更多信息)
用openssl手动执行,也证实:
$ openssl s_client -connect localhost:443 CONNECTED(00000003) [...] --- R RENEGOTIATING depth=0 CN = mint.home verify error:num=18:self signed certificate verify return:1 depth=0 CN = mint.home verify return:1
根据stunnel ChangeLog ,在stunnel版本4.54中增加了renegotiation参数。 这就解释了为什么stunnel 4.53会抱怨
指定的选项名称在此处无效
替代解决scheme: