Protegendo contra POODLE SSL no stunnel

Como mitigar a vulnerabilidade do POODLE SSL ao usar o stunnel como proxy reverso HTTPS?

Você pode desativar completamente o protocolo SSLv3 no stunnel.

Da documentação do stunnel:

sslVersion = SSL_VERSION

selecione a versão do protocolo SSL permitido

opções: tudo, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

Eu adicionei isso ao arquivo de configuração:

sslVersion = TLSv1 TLSv1.1 TLSv1.2

E agora não consigo me conectar ao SSLv3 (usando openssl s_client -connect my.domain.com:443 -ssl3)

NOTA : Algumas versões mais antigas do stunnel e do OpenSSL não suportam TLSv1.2 (e até TLSv1.1). Nesse caso, remova-os da sslVersiondiretiva para evitar incorrect version of ssl protocolerros.

se você preferir usar o stunnel mais antigo (como o 4.53 no seu Debian Stable), poderá desativar o SSLv2 e o SSLv3 com:

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

ao invés de

sslVersion = TLSv1

o que desabilitaria o TLSv1.1 e o TLSv1.2 também.

Como não posso comentar, irei "responder" (desculpe).

De qualquer forma, estou executando o stunnel 5.01 e também recebo o erro "versão incorreta do SSL" depois de fazer a alteração em sslVersion:

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

Corrigido (para mim). Teve que atualizar o stunnel para a v5.06 (versão mais atual a partir de hoje). Conf arquivo é exatamente o mesmo, então eu acho que há algum mojo acontecendo entre v5.01 e v5.06 que vai além de um mero mortal para entender.