Защита от POODLE SSL на stunnel

Как можно уменьшить уязвимость POODLE SSL при использовании stunnel в качестве обратного прокси-сервера HTTPS?

Вы можете полностью отключить протокол SSLv3 на Stunnel.

Из документации по stunnel:

sslVersion = SSL_VERSION

выберите версию протокола SSL Разрешено

параметры: все, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

Я добавил это в файл конфигурации:

sslVersion = TLSv1 TLSv1.1 TLSv1.2

И теперь я не могу соединиться с SSLv3 (используя openssl s_client -connect my.domain.com:443 -ssl3)

ПРИМЕЧАНИЕ . Некоторые старые версии stunnel и OpenSSL не поддерживают TLSv1.2 (и даже TLSv1.1). В этом случае удалите их из sslVersionдирективы, чтобы избежать incorrect version of ssl protocolошибки.

если вы предпочитаете использовать более старый stunnel (например, 4.53 в вашей стабильной версии Debian), вы можете отключить SSLv2 и SSLv3 с помощью:

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

вместо того

sslVersion = TLSv1

что бы отключить TLSv1.1 и TLSv1.2 также.

Поскольку я не могу комментировать, я буду «отвечать» (извините).

В любом случае, я запускаю stunnel 5.01 и также получаю ошибку «неверная версия SSL» после изменения sslVersion:

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

Исправлено (для меня). Пришлось обновить stunnel до v5.06 (самый последний выпуск на сегодняшний день). Conf-файл точно такой же, так что я думаю, что между v5.01 и v5.06 происходит некое моджо, которое выходит за рамки простого смертного.