Réponses:
Vous pouvez désactiver complètement le protocole SSLv3 sur Stunnel.
De la documentation Stunnel:
sslVersion = SSL_VERSION
sélectionnez la version du protocole SSL autorisée
options: toutes, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2
J'ai ajouté ceci au fichier de configuration:
sslVersion = TLSv1 TLSv1.1 TLSv1.2
Et maintenant je ne peux plus me connecter avec SSLv3 (en utilisant openssl s_client -connect my.domain.com:443 -ssl3)
REMARQUE : certaines anciennes versions de stunnel et d'OpenSSL ne prennent pas en charge TLSv1.2 (et même TLSv1.1). Dans ce cas, supprimez-les de la sslVersiondirective pour éviter les incorrect version of ssl protocolerreurs.
si vous préférez rester avec un stunnel plus ancien (comme le 4.53 dans votre écurie Debian), vous pouvez désactiver SSLv2 et SSLv3 avec:
sslVersion = all
options = NO_SSLv2
options = NO_SSLv3
au lieu de
sslVersion = TLSv1
ce qui désactiverait également TLSv1.1 et TLSv1.2.
Comme je ne peux pas commenter, je vais "répondre" (désolé).
Quoi qu'il en soit, j'utilise stunnel 5.01 et j'obtiens également l'erreur "version incorrecte de SSL" après avoir apporté la modification à sslVersion:
[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol
Fixé (pour moi). J'ai dû mettre à niveau Stunnel vers la v5.06 (version la plus récente à ce jour). Le fichier de conf est exactement le même, donc je suppose qu'il y a un mojo entre v5.01 et v5.06 qui va au-delà d'un simple mortel pour comprendre.