Protegendo contra POODLE SSL no stunnel

15

Como mitigar a vulnerabilidade do POODLE SSL ao usar o stunnel como proxy reverso HTTPS?

Sergey
fonte

Respostas:

19

Você pode desativar completamente o protocolo SSLv3 no stunnel.

Da documentação do stunnel:

sslVersion = SSL_VERSION

selecione a versão do protocolo SSL permitido

opções: tudo, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

Eu adicionei isso ao arquivo de configuração:

sslVersion = TLSv1 TLSv1.1 TLSv1.2

E agora não consigo me conectar ao SSLv3 (usando openssl s_client -connect my.domain.com:443 -ssl3)

NOTA : Algumas versões mais antigas do stunnel e do OpenSSL não suportam TLSv1.2 (e até TLSv1.1). Nesse caso, remova-os da sslVersiondiretiva para evitar incorrect version of ssl protocolerros.

Sergey
fonte
Recebo o seguinte erro quando uso o sslVersion = de cima: Iniciando stunnel: arquivo /etc/stunnel/stunnel.conf linha 6: Versão incorreta do protocolo SSL. Isso é com 4.29. Alguém mais pode confirmar que não recebeu esse erro?
Ross
Algumas versões mais antigas do stunnel não suportam TLSv1.2 ou TLSv1.1. Tente removê-los, deixando apenas o TLSv1. Confirmado este trabalho em uma instalação mais antiga.
Sergey
10

se você preferir usar o stunnel mais antigo (como o 4.53 no seu Debian Stable), poderá desativar o SSLv2 e o SSLv3 com:

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

ao invés de

sslVersion = TLSv1

o que desabilitaria o TLSv1.1 e o TLSv1.2 também.

Matija Nalis
fonte
1
Isso funciona para mim com o stunnel 4.53 (Debian) e um moderno OpenSSL (1.0.1e + patches de segurança que o Debian fornece). Eu posso me conectar a ele usando o TLSv1.2. Yay!
Christopher Schultz
2

Como não posso comentar, irei "responder" (desculpe).

De qualquer forma, estou executando o stunnel 5.01 e também recebo o erro "versão incorreta do SSL" depois de fazer a alteração em sslVersion:

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

Corrigido (para mim). Teve que atualizar o stunnel para a v5.06 (versão mais atual a partir de hoje). Conf arquivo é exatamente o mesmo, então eu acho que há algum mojo acontecendo entre v5.01 e v5.06 que vai além de um mero mortal para entender.

Necessidades Locais
fonte