Вы можете полностью отключить протокол SSLv3 в stunnel.
Из документации stunnel:
sslVersion = SSL_VERSION
выберите версию Протокол SSL. Допустимые параметры
: все, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2
Я добавил это в файл конфигурации:
sslVersion = TLSv1 TLSv1.1 TLSv1.2
И теперь я не могу подключиться к SSLv3 ( usi ng openssl s_client -connect my.domain.com:443 -ssl3
)
ПРИМЕЧАНИЕ : Некоторые старые версии stunnel и OpenSSL не поддерживают TLSv1.2 (и даже TLSv1.1) .В этом случае удалите их из директивы sslVersion
, чтобы избежать ошибки неверной версии протокола ssl
.
, если вы предпочитаете использовать старый stunnel (например, 4.53 в вашей стабильной версии Debian), вы можете отключить SSLv2 и SSLv3 с помощью:
sslVersion = all
options = NO_SSLv2
options = NO_SSLv3
вместо
sslVersion = TLSv1
, что отключит TLSv1.1 а также TLSv1.2.
Поскольку я не могу комментировать, я «отвечу» (извините).
В любом случае, я использую stunnel 5.01 и после внесения изменений получаю сообщение об ошибке «неправильная версия SSL» to sslVersion:
[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol
Исправлено (для меня). Пришлось обновить stunnel до v5.06 (самая последняя версия на сегодняшний день). Конфигурационный файл точно такой же, так что я предполагаю, что между версиями v5.01 и v5.06 происходит какое-то моджо, которое не может понять простой смертный.