防范通道上的POODLE SSL

Answers:

19

您可以完全禁用stunnel上的SSLv3协议。

从Stunnel文档中:

sslVersion = SSL_VERSION

选择SSL协议的版本允许

选项:全部,SSLv2,SSLv3,TLSv1,TLSv1.1,TLSv1.2

我已将此添加到配置文件中:

sslVersion = TLSv1 TLSv1.1 TLSv1.2

现在,我无法与SSLv3连接(使用openssl s_client -connect my.domain.com:443 -ssl3

注意:某些较早版本的stunnel和OpenSSL不支持TLSv1.2(甚至TLSv1.1)。在这种情况下,请将其从sslVersion指令中删除以避免incorrect version of ssl protocol错误。

谢尔盖
source
从上面使用sslVersion =时,出现以下错误:启动stunnel:文件/etc/stunnel/stunnel.conf第6行:SSL协议的版本不正确。这是4.29。其他人可以确认他们没有收到此错误吗?
罗斯
某些较早版本的stunnel不支持TLSv1.2或TLSv1.1。尝试删除这些,仅保留TLSv1。确认此操作适用于较旧的安装。
谢尔盖2014年
10

如果您喜欢使用旧的通道(例如Debian Stable中的4.53),则可以使用以下命令禁用SSLv2和SSLv3:

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

代替

sslVersion = TLSv1

也会停用TLSv1.1和TLSv1.2。

马蒂娅·纳里斯(Matija Nalis)
source
1
这适用于stunnel 4.53(Debian)和现代的OpenSSL(Debian提供的1.0.1e +安全补丁)。我可以使用TLSv1.2连接到它。好极了!
Christopher Schultz
2

由于我无法发表评论,因此我将“回答”(对不起)。

无论如何,我正在运行stunnel 5.01,并且在对sslVersion进行更改后,我也收到“ SSL的错误版本”错误:

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

固定(对我来说)。必须将stunnel升级到v5.06(截至今天的最新版本)。Conf文件是完全一样的,所以我想v5.01和v5.06之间会发生一些莫霍(mojo)的变化,这超出了人们的理解。

当地需求
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.