Protezione da POODLE SSL su stunnel

Come posso mitigare la vulnerabilità di POODLE SSL quando uso lo stunnel come proxy inverso HTTPS?

È possibile disabilitare del tutto il protocollo SSLv3 su stunnel.

Dalla documentazione di stunnel:

sslVersion = SSL_VERSION

selezionare la versione del protocollo SSL consentita

opzioni: tutte, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

Ho aggiunto questo al file di configurazione:

sslVersion = TLSv1 TLSv1.1 TLSv1.2

E ora non sono in grado di connettermi con SSLv3 (usando openssl s_client -connect my.domain.com:443 -ssl3)

NOTA : alcune versioni precedenti di stunnel e OpenSSL non supportano TLSv1.2 (e persino TLSv1.1). In questo caso, rimuoverli dalla sslVersiondirettiva per evitare incorrect version of ssl protocolerrori.

se preferisci restare con lo stunnel più vecchio (come il 4.53 nella tua Debian Stable), puoi disabilitare SSLv2 e SSLv3 con:

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

invece di

sslVersion = TLSv1

che disabiliterebbe anche TLSv1.1 e TLSv1.2.

Dal momento che non posso commentare, "risponderò" (scusate).

Ad ogni modo, sto eseguendo lo stunnel 5.01 e ricevo anche l'errore "versione errata di SSL" dopo aver apportato la modifica a sslVersion:

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

Risolto (per me). Ho dovuto aggiornare Stunnel alla v5.06 (la versione più recente di oggi). Il file conf è esattamente lo stesso, quindi immagino che ci sia qualche mojo tra v5.01 e v5.06 che va oltre un semplice mortale per capire.