当使用 stunnel 作为 HTTPS 反向代理时,如何缓解 POODLE SSL 漏洞?
答案1
您可以完全禁用 stunnel 上的 SSLv3 协议。
来自 stunnel 文档:
ssl版本= SSL_版本
选择允许的 SSL 协议版本
选项:全部、SSLv2、SSLv3、TLSv1、TLSv1.1、TLSv1.2
我已将其添加到配置文件中:
sslVersion = TLSv1 TLSv1.1 TLSv1.2
现在我无法连接 SSLv3(使用openssl s_client -connect my.domain.com:443 -ssl3
)
笔记:某些旧版本的 stunnel 和 OpenSSL 不支持 TLSv1.2(甚至 TLSv1.1)。在这种情况下,请从sslVersion
指令中删除它们以避免incorrect version of ssl protocol
错误。
答案2
如果你喜欢坚持使用较旧的 stunnel(例如 Debian Stable 中的 4.53),你可以使用以下命令禁用 SSLv2 和 SSLv3:
sslVersion = all
options = NO_SSLv2
options = NO_SSLv3
代替
sslVersion = TLSv1
这也会禁用 TLSv1.1 和 TLSv1.2。
答案3
由于我无法评论,所以我将“回答”(抱歉)。
无论如何,我正在运行 stunnel 5.01,在更改 sslVersion 后也收到“SSL 版本不正确”错误:
[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol
已修复(对我来说)。必须将 stunnel 升级到 v5.06(截至今天的最新版本)。conf 文件完全相同,所以我猜想 v5.01 和 v5.06 之间发生了一些超出普通人理解范围的魔力。