web-dev-qa-db-ja.com

stunnel4:セキュアクライアントが開始する再ネゴシエーションを無効にする

Stunnel4でセキュアクライアントが開始する再ネゴシエーションを無効にするにはどうすればよいですか?私は、OpenSSL1.0.1fを使用するUbuntu14.04Trustyでバージョンstunnel4.53-1.1ubuntu1を使用し、OpenSSL1.0.1eを使用するDebianWheezyでstunnel4.53-1.1を使用しています。

stunnel docs には、そのためのオプションがリストされています。

再交渉=はい|番号

sSL再ネゴシエーションをサポート

ただし、残念ながら、これにより次のエラーが発生します。

70行目:「再ネゴシエーション=いいえ」:指定されたオプション名はここでは無効です

しかし、これはどこで有効なオプションですか?単一のサービスで試してみましたが(とにかく意味がありません)、どちらも機能しませんでした。ドキュメントはこれについてあまり冗長ではなく、検索エンジンでこれに関する情報を見つけることができませんでした。

誰か手がかりがありますか、これを正しくする方法はありますか?


次の最小限の構成を使用しました。

pid=/stunnel4.pid
debug = 5
output = /var/log/stunnel4/stunnel.log
cert = /etc/ssl/certs/ssl-cert-snakeoil.pem
key = /etc/ssl/private/ssl-cert-snakeoil.key
renegotiation = no
[https]
accept  = 443
connect = localhost:8000

これらのテストは、再ネゴシエーションがサポートされていることを示しています。

Qualysのssltestは次のことを示しています。

安全なクライアント開始の再ネゴシエーション:サポートされているDoSの危険性(詳細)

Opensslを使用して手動で実行すると、次のことも確認できます。

$ openssl s_client -connect localhost:443
CONNECTED(00000003)
[...]
---
R
RENEGOTIATING
depth=0 CN = mint.home
verify error:num=18:self signed certificate
verify return:1
depth=0 CN = mint.home
verify return:1
1
sebix

stunnel ChangeLog によると、stunnelバージョン4.54renegotiationパラメータが追加されました。それがstunnel4.53が不平を言う理由を説明しています

指定されたオプション名はここでは無効です

代替ソリューション:

  1. インストール より高いバージョンのstunnel debファイル たとえば、jessie(テスト)またはsid(不安定)のstunnel
  2. 自己コンパイルのstunnelを実行する
1
masegaloeh