Melindungi terhadap POODLE SSL pada stunnel

Bagaimana saya bisa mengurangi kerentanan POODLE SSL saat menggunakan stunnel sebagai HTTPS reverse proxy?

Anda dapat menonaktifkan protokol SSLv3 di stunnel sama sekali.

Dari dokumentasi stunnel:

sslVersion = SSL_VERSION

pilih versi protokol SSL Diizinkan

opsi: semua, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

Saya telah menambahkan ini ke file konfigurasi:

sslVersion = TLSv1 TLSv1.1 TLSv1.2

Dan sekarang saya tidak dapat terhubung dengan SSLv3 (menggunakan openssl s_client -connect my.domain.com:443 -ssl3)

CATATAN : Beberapa versi stunnel dan OpenSSL yang lama tidak mendukung TLSv1.2 (dan bahkan TLSv1.1). Dalam hal ini, hapus dari sslVersiondirektif untuk menghindari incorrect version of ssl protocolkesalahan.

jika Anda lebih suka menggunakan stunnel lama (seperti 4.53 di Debian Stable Anda), Anda dapat menonaktifkan SSLv2 dan SSLv3 dengan:

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

dari pada

sslVersion = TLSv1

yang akan menonaktifkan TLSv1.1 dan TLSv1.2 juga.

Karena saya tidak bisa berkomentar, saya akan "menjawab" (maaf).

Lagi pula, saya menjalankan stunnel 5.01 dan saya juga mendapatkan kesalahan "versi SSL yang salah" setelah melakukan perubahan ke sslVersion:

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

Diperbaiki (untuk saya). Harus meng-upgrade stunnel ke v5.06 (rilis terbaru saat ini). File conf persis sama jadi saya kira ada beberapa Mojo terjadi antara v5.01 dan v5.06 yang melampaui manusia biasa untuk mengerti.