ฉันจะลดช่องโหว่ POODLE SSL ได้อย่างไรเมื่อใช้ stunnel เป็น HTTPS reverse proxy
ฉันจะลดช่องโหว่ POODLE SSL ได้อย่างไรเมื่อใช้ stunnel เป็น HTTPS reverse proxy
คำตอบ:
คุณสามารถปิดใช้งานโปรโตคอล SSLv3 บน stunnel ทั้งหมดได้
จากเอกสาร stunnel:
sslVersion = SSL_VERSION
เลือกรุ่นของโปรโตคอล SSL ที่อนุญาต
ตัวเลือก: ทั้งหมด, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2
ฉันได้เพิ่มสิ่งนี้ลงในไฟล์ปรับแต่งแล้ว:
sslVersion = TLSv1 TLSv1.1 TLSv1.2
และตอนนี้ฉันไม่สามารถเชื่อมต่อกับ SSLv3 (โดยใช้openssl s_client -connect my.domain.com:443 -ssl3)
หมายเหตุ : stunnel และ OpenSSL เวอร์ชันเก่าบางรุ่นไม่รองรับ TLSv1.2 (และแม้แต่ TLSv1.1) ในกรณีนี้ให้ลบออกจากsslVersionคำสั่งเพื่อหลีกเลี่ยงincorrect version of ssl protocolข้อผิดพลาด
หากคุณต้องการติดกับ stunnel รุ่นเก่า (เช่น 4.53 ใน Debian Stable) คุณสามารถปิดการใช้งาน SSLv2 และ SSLv3 ด้วย:
sslVersion = all
options = NO_SSLv2
options = NO_SSLv3
แทน
sslVersion = TLSv1
ซึ่งจะปิดใช้งาน TLSv1.1 และ TLSv1.2 ด้วย
เนื่องจากฉันไม่สามารถแสดงความคิดเห็นได้ฉันจะ "ตอบ" (ขออภัย)
อย่างไรก็ตามฉันกำลัง stunnel 5.01 และฉันยังได้รับข้อผิดพลาด "SSL รุ่นที่ไม่ถูกต้อง" หลังจากทำการเปลี่ยนแปลง sslVersion:
[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol
คงที่ (สำหรับฉัน) ต้องอัพเกรด stunnel เป็น v5.06 (รีลีสล่าสุด ณ วันนี้) ไฟล์ Conf เหมือนกันดังนั้นฉันเดาว่ามีบางโมโจเกิดขึ้นระหว่าง v5.01 และ v5.06 ซึ่งเกินกว่ามนุษย์ธรรมดาที่จะเข้าใจ