stunnel에서 POODLE SSL로부터 보호


15

stunnel을 HTTPS 리버스 프록시로 사용할 때 POODLE SSL 취약성을 어떻게 완화 할 수 있습니까?

답변:


19

stunnel에서 SSLv3 프로토콜을 모두 비활성화 할 수 있습니다.

stunnel 문서에서 :

sslVersion = SSL_VERSION

허용되는 SSL 프로토콜 버전을 선택하십시오.

옵션 : 모두, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

이것을 구성 파일에 추가했습니다.

sslVersion = TLSv1 TLSv1.1 TLSv1.2

이제 SSLv3에 연결할 수 없습니다 (을 사용하여 openssl s_client -connect my.domain.com:443 -ssl3)

참고 : 일부 이전 버전의 stunnel 및 OpenSSL은 TLSv1.2 (및 TLSv1.1)를 지원하지 않습니다. 이 경우 오류 sslVersion를 피하기 위해 지시문 에서 제거하십시오 incorrect version of ssl protocol.


위에서 sslVersion =을 사용할 때 다음 오류가 발생합니다. stunnel 시작 : file /etc/stunnel/stunnel.conf 6 행 : 잘못된 SSL 프로토콜 버전. 이것은 4.29입니다. 다른 사람이이 오류가 발생하지 않는다고 확인할 수 있습니까?
Ross

일부 이전 버전의 stunnel은 TLSv1.2 또는 TLSv1.1을 지원하지 않습니다. TLSv1 만 남겨두고 제거하십시오. 이전 설치에서이 작업을 확인했습니다.
Sergey

10

이전의 stunnel (Debian Stable의 4.53과 같은)을 고수하려면 다음을 사용하여 SSLv2 및 SSLv3을 비활성화 할 수 있습니다.

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

대신에

sslVersion = TLSv1

TLSv1.1 및 TLSv1.2도 비활성화됩니다.


1
이것은 stunnel 4.53 (Debian) 및 최신 OpenSSL (Debian에서 제공하는 1.0.1e + 보안 패치)에서 작동합니다. TLSv1.2를 사용하여 연결할 수 있습니다. 예이!
Christopher Schultz

2

댓글을 달 수 없기 때문에 "답"합니다 (죄송합니다).

어쨌든, stunnel 5.01을 실행 중이며 sslVersion으로 변경 한 후 "잘못된 SSL 버전"오류가 발생합니다.

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

고정되어 있습니다. stunnel을 v5.06 (현재 최신 릴리스)으로 업그레이드해야했습니다. Conf 파일은 정확히 동일하므로 v5.01과 v5.06 사이에 단순한 필사자를 넘어서는 모조가 발생한다고 생각합니다.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.