Como é possível desabilitar a Renegociação Iniciada pelo Cliente Seguro no stunnel4? Estou usando a versão stunnel 4.53-1.1ubuntu1 no Ubuntu 14.04 Trusty com o OpenSSL 1.0.1f e stunnel 4.53-1.1 no Debian Wheezy com o OpenSSL 1.0.1e.
Os documentos do stunnel listam uma opção para isso:
renegotiation = yes | no
support SSL renegotiation
mas, infelizmente, isso leva ao seguinte erro:
Line 70: "renegotiation = no": Specified option name is not valid here
Mas onde é esta a opção válida? Eu tentei para os serviços individuais (o que não faz sentido de qualquer forma), mas também não funcionou. A documentação não é muito detalhada sobre isso, e não consegui encontrar nenhuma informação sobre isso com os mecanismos de pesquisa.
Alguém tem uma pista, como fazer isso certo?
Eu usei a seguinte configuração mínima:
pid=/stunnel4.pid
debug = 5
output = /var/log/stunnel4/stunnel.log
cert = /etc/ssl/certs/ssl-cert-snakeoil.pem
key = /etc/ssl/private/ssl-cert-snakeoil.key
renegotiation = no
[https]
accept = 443
connect = localhost:8000
Estes testes mostraram que a Renegociação é suportada:
O ssltest da Qualys mostra:
Secure Client-Initiated Renegotiation: Supported DoS DANGER (more info)
Fazê-lo manualmente com o openssl, também confirma:
$ openssl s_client -connect localhost:443
CONNECTED(00000003)
[...]
---
R
RENEGOTIATING
depth=0 CN = mint.home
verify error:num=18:self signed certificate
verify return:1
depth=0 CN = mint.home
verify return:1
De acordo com o stunnel ChangeLog , o parâmetro renegotiation foi adicionado em stunnel versão 4.54 . Isso explica porque stunnel 4.53 reclama sobre
Specified option name is not valid here
As soluções alternativas: