Protegendo contra o POODLE SSL no stunnel

Navegue suas respostas
15

Como posso reduzir a vulnerabilidade do POODLE SSL ao usar o stunnel como proxy reverso HTTPS?

    
por Sergey 15.10.2014 / 22:34

3 respostas

19

Você pode desativar completamente o protocolo SSLv3 no stunnel.

Da documentação do stunnel:

sslVersion = SSL_VERSION

select version of SSL protocol Allowed

options: all, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

Eu adicionei isso ao arquivo de configuração: 

sslVersion = TLSv1 TLSv1.1 TLSv1.2

E agora não consigo me conectar ao SSLv3 (usando openssl s_client -connect my.domain.com:443 -ssl3 )

OBSERVAÇÃO : Algumas versões mais antigas do stunnel e do OpenSSL não suportam TLSv1.2 (e até mesmo o TLSv1.1). Nesse caso, remova-os da diretiva sslVersion para evitar o erro incorrect version of ssl protocol .

    
por 15.10.2014 / 22:34
10

se você preferir ficar com o stunnel mais antigo (como o 4.53 no Debian Stable), você pode desativar o SSLv2 e o SSLv3 com: 

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

em vez de 

sslVersion = TLSv1

que também desativaria o TLSv1.1 e o TLSv1.2.

    
por 20.10.2014 / 05:05
2

Como não posso comentar, vou "responder" (desculpe).

De qualquer forma, estou executando stunnel 5.01 e também recebo o erro "versão incorreta do SSL" depois de fazer a alteração para sslVersion: 

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

Corrigido (para mim). Tive que atualizar o stunnel para v5.06 (a versão mais atual a partir de hoje). Conf arquivo é exatamente o mesmo, então eu acho que há algum mojo acontecendo entre v5.01 e v5.06 que vai além de um mero mortal para entender.

    
por 18.10.2014 / 07:00

Tags

Localização padrão do pacote de certificados da CA Como posso configurar VLANs de uma maneira que não me coloque em risco de VLAN hopping?