Protección contra POODLE SSL en stunnel

15

¿Cómo puedo mitigar la vulnerabilidad POODLE SSL cuando uso stunnel como proxy inverso HTTPS?

Sergey
fuente

Respuestas:

19

Puede deshabilitar el protocolo SSLv3 en stunnel por completo.

De la documentación de stunnel:

sslVersion = SSL_VERSION

seleccione la versión del protocolo SSL Permitido

opciones: todas, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

He agregado esto al archivo de configuración:

sslVersion = TLSv1 TLSv1.1 TLSv1.2

Y ahora no puedo conectarme con SSLv3 (usando openssl s_client -connect my.domain.com:443 -ssl3)

NOTA : Algunas versiones anteriores de stunnel y OpenSSL no son compatibles con TLSv1.2 (e incluso TLSv1.1). En este caso, elimínelos de la sslVersiondirectiva para evitar incorrect version of ssl protocolerrores.

Sergey
fuente
Recibo el siguiente error cuando uso sslVersion = desde arriba: Stunnel de inicio: archivo /etc/stunnel/stunnel.conf línea 6: Versión incorrecta del protocolo SSL. Esto es con 4.29. ¿Alguien más puede confirmar que no reciben este error?
Ross
Algunas versiones anteriores de stunnel no son compatibles con TLSv1.2 o TLSv1.1. Intente eliminarlos, dejando solo TLSv1. Confirmó que esto funciona en una instalación anterior.
Sergey
10

Si prefiere seguir con el stunnel anterior (como el 4.53 en su Estable de Debian), puede deshabilitar SSLv2 y SSLv3 con:

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

en lugar de

sslVersion = TLSv1

que deshabilitaría TLSv1.1 y TLSv1.2 también.

Matija Nalis
fuente
1
Esto funciona para mí con Stunnel 4.53 (Debian) y un OpenSSL moderno (1.0.1e + parches de seguridad que proporciona Debian). Puedo conectarme a él usando TLSv1.2. ¡Hurra!
Christopher Schultz
2

Como no puedo comentar, "responderé" (lo siento).

De todos modos, estoy ejecutando stunnel 5.01 y también recibo el error "versión incorrecta de SSL" después de hacer el cambio a sslVersion:

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

Fijo (para mí) Tuve que actualizar Stunnel a v5.06 (versión más actual a partir de hoy). El archivo Conf es exactamente el mismo, así que supongo que hay algún mojo entre v5.01 y v5.06 que va más allá de un simple mortal para entender.

Necesidades locales
fuente