Como mitigar a vulnerabilidade do POODLE SSL ao usar o stunnel como proxy reverso HTTPS?
15
Você pode desativar completamente o protocolo SSLv3 no stunnel.
Da documentação do stunnel:
sslVersion = SSL_VERSION
selecione a versão do protocolo SSL permitido
opções: tudo, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2
Eu adicionei isso ao arquivo de configuração:
sslVersion = TLSv1 TLSv1.1 TLSv1.2
E agora não consigo me conectar ao SSLv3 (usando openssl s_client -connect my.domain.com:443 -ssl3
)
NOTA : Algumas versões mais antigas do stunnel e do OpenSSL não suportam TLSv1.2 (e até TLSv1.1). Nesse caso, remova-os da sslVersion
diretiva para evitar incorrect version of ssl protocol
erros.
se você preferir usar o stunnel mais antigo (como o 4.53 no seu Debian Stable), poderá desativar o SSLv2 e o SSLv3 com:
ao invés de
o que desabilitaria o TLSv1.1 e o TLSv1.2 também.
fonte
Como não posso comentar, irei "responder" (desculpe).
De qualquer forma, estou executando o stunnel 5.01 e também recebo o erro "versão incorreta do SSL" depois de fazer a alteração em sslVersion:
Corrigido (para mim). Teve que atualizar o stunnel para a v5.06 (versão mais atual a partir de hoje). Conf arquivo é exatamente o mesmo, então eu acho que há algum mojo acontecendo entre v5.01 e v5.06 que vai além de um mero mortal para entender.
fonte