Primeiro, por quê? Nos documentos para s_client
, afirma-se que o openssl usará por padrão um handshake que descubra o correto protocolo para você. Essa é toda a base do ataque POODLE. O problema é que, em 0.9.8, o handshake começa com SSL_V23 e, em algum ponto posterior, tentará o TLSv1. Muitos servidores não gostam quando os clientes se conectam usando SSL_V23 porque é um sinal vermelho de que o cliente está fazendo algo inseguro, daí o seu problema.
Como consertar isso? Bem, eu não encontrei nenhuma opção para o openssl.cnf que permitiria que você dissesse "Ei, por padrão, apenas use TLSv1". Em este tópico , eles parecem sugerir que isso é possível em v1.0.0 +. Após uma hora de pesquisa no Google, decidi que sua melhor opção seria recompilar o openssl e desativar o SSLv2 e o SSLv3 . Se você estiver recompilando o openssl, provavelmente será mais fácil usar 0.9.8, tentar atualizar o openssl para 1.x + em algo como o RHEL pode ser um pesadelo total.