stunnel을 HTTPS 리버스 프록시로 사용할 때 POODLE SSL 취약성을 어떻게 완화 할 수 있습니까?
답변
stunnel에서 SSLv3 프로토콜을 모두 비활성화 할 수 있습니다.
stunnel 문서에서 :
sslVersion = SSL_VERSION
허용되는 SSL 프로토콜 버전을 선택하십시오.
옵션 : 모두, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2
이것을 구성 파일에 추가했습니다.
sslVersion = TLSv1 TLSv1.1 TLSv1.2
이제 SSLv3에 연결할 수 없습니다 (을 사용하여 openssl s_client -connect my.domain.com:443 -ssl3
)
참고 : 일부 이전 버전의 stunnel 및 OpenSSL은 TLSv1.2 (및 TLSv1.1)를 지원하지 않습니다. 이 경우 오류 sslVersion
를 피하기 위해 지시문 에서 제거하십시오 incorrect version of ssl protocol
.
답변
이전의 stunnel (Debian Stable의 4.53과 같은)을 고수하려면 다음을 사용하여 SSLv2 및 SSLv3을 비활성화 할 수 있습니다.
sslVersion = all
options = NO_SSLv2
options = NO_SSLv3
대신에
sslVersion = TLSv1
TLSv1.1 및 TLSv1.2도 비활성화됩니다.
답변
댓글을 달 수 없기 때문에 “답”합니다 (죄송합니다).
어쨌든, stunnel 5.01을 실행 중이며 sslVersion으로 변경 한 후 “잘못된 SSL 버전”오류가 발생합니다.
[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol
고정되어 있습니다. stunnel을 v5.06 (현재 최신 릴리스)으로 업그레이드해야했습니다. Conf 파일은 정확히 동일하므로 v5.01과 v5.06 사이에 단순한 필사자를 넘어서는 모조가 발생한다고 생각합니다.