使用stunnel作为HTTPS反向代理时,如何缓解POODLE SSL漏洞?
您可以完全禁用stunnel上的SSLv3协议。
来自stunnel文档:
sslVersion = SSL_VERSION
select允许的SSL协议版本
选项:all,SSLv2,SSLv3,TLSv1,TLSv1.1,TLSv1.2
我已经添加到configuration文件中:
sslVersion = TLSv1 TLSv1.1 TLSv1.2 现在我无法连接SSLv3(使用openssl s_client -connect my.domain.com:443 -ssl3 )
注意 :一些老版本的stunnel和OpenSSL不支持TLSv1.2(甚至TLSv1.1)。 在这种情况下,请从sslVersion指令中删除它们以避免incorrect version of ssl protocol错误的incorrect version of ssl protocol 。
如果你喜欢使用旧的stunnel(比如Debian Stable中的4.53),你可以使用下面的命令来禁用SSLv2和SSLv3:
sslVersion = all options = NO_SSLv2 options = NO_SSLv3
代替
sslVersion = TLSv1
这也会禁用TLSv1.1和TLSv1.2。
既然我不能评论,我会“回答”(对不起)。
无论如何,我正在运行stunnel 5.01,并且在对sslVersion进行更改之后,我也得到了“不正确的SSL版本”错误:
[!] Server is down [.] Reading configuration from file stunnel.conf [!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol
固定(对我来说)。 不得不升级到5.06版本(截至今日最新版本)。 Conf文件是完全一样的,所以我想在v5.01和v5.06之间有一些魔法发生超越了一个人类的理解。