Schutz vor POODLE SSL auf Stunnel

15

Wie kann ich die POODLE SSL-Sicherheitsanfälligkeit bei Verwendung von stunnel als HTTPS-Reverseproxy verringern?

ssl openssl stunnel Sergey
quelle

Antworten:

19

Sie können das SSLv3-Protokoll auf stunnel vollständig deaktivieren.

Aus der Stunnel-Dokumentation:

sslVersion = SSL_VERSION

Version des SSL-Protokolls auswählen Zulässig

Optionen: Alle, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

Ich habe dies zur Konfigurationsdatei hinzugefügt:

sslVersion = TLSv1 TLSv1.1 TLSv1.2

Und jetzt kann ich mich nicht mit SSLv3 verbinden (mit openssl s_client -connect my.domain.com:443 -ssl3)

HINWEIS : Einige ältere Versionen von stunnel und OpenSSL unterstützen TLSv1.2 (und sogar TLSv1.1) nicht. In diesem Fall entfernen Sie sie aus der sslVersionDirektive, um incorrect version of ssl protocolFehler zu vermeiden .

Sergey
quelle
Ich erhalte die folgende Fehlermeldung, wenn ich sslVersion = von oben verwende: Stunnel starten: Datei /etc/stunnel/stunnel.conf Zeile 6: Falsche Version des SSL-Protokolls. Dies ist mit 4.29. Kann jemand bestätigen, dass dieser Fehler nicht angezeigt wird?
Ross
Einige ältere Versionen von stunnel unterstützen TLSv1.2 oder TLSv1.1 nicht. Versuchen Sie, diese zu entfernen, und belassen Sie nur TLSv1. Bestätigt, dass dies auf einer älteren Installation funktioniert.
Sergey
10

Wenn Sie sich lieber an einen älteren Stunnel halten (wie den 4.53 in Ihrem Debian-Stable), können Sie SSLv2 und SSLv3 deaktivieren mit:

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

Anstatt von

sslVersion = TLSv1

Das würde auch TLSv1.1 und TLSv1.2 deaktivieren.

Matija Nalis
quelle
1
Dies funktioniert für mich mit stunnel 4.53 (Debian) und einem modernen OpenSSL (1.0.1e + von Debian bereitgestellte Sicherheitspatches). Ich kann mit TLSv1.2 eine Verbindung herstellen. Yay!
Christopher Schultz
2

Da ich keinen Kommentar abgeben kann, werde ich "antworten" (sorry).

Wie auch immer, ich verwende stunnel 5.01 und erhalte nach dem Wechsel zu sslVersion auch den Fehler "Falsche Version von SSL":

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

Behoben (für mich). Musste stunnel auf v5.06 upgraden (aktuellste Version ab heute). Die Conf-Datei ist genau die gleiche, also gibt es zwischen v5.01 und v5.06 wahrscheinlich ein Mojo, das nicht nur für Sterbliche verständlich ist.

Lokale Bedürfnisse
quelle