Protección contra POODLE SSL en stunnel

¿Cómo puedo mitigar la vulnerabilidad POODLE SSL cuando uso stunnel como proxy inverso HTTPS?

Puede deshabilitar el protocolo SSLv3 en stunnel por completo.

De la documentación de stunnel:

sslVersion = SSL_VERSION

seleccione la versión del protocolo SSL Permitido

opciones: todas, SSLv2, SSLv3, TLSv1, TLSv1.1, TLSv1.2

He agregado esto al archivo de configuración:

sslVersion = TLSv1 TLSv1.1 TLSv1.2

Y ahora no puedo conectarme con SSLv3 (usando openssl s_client -connect my.domain.com:443 -ssl3)

NOTA : Algunas versiones anteriores de stunnel y OpenSSL no son compatibles con TLSv1.2 (e incluso TLSv1.1). En este caso, elimínelos de la sslVersiondirectiva para evitar incorrect version of ssl protocolerrores.

Si prefiere seguir con el stunnel anterior (como el 4.53 en su Estable de Debian), puede deshabilitar SSLv2 y SSLv3 con:

sslVersion = all
options = NO_SSLv2
options = NO_SSLv3

en lugar de

sslVersion = TLSv1

que deshabilitaría TLSv1.1 y TLSv1.2 también.

Como no puedo comentar, "responderé" (lo siento).

De todos modos, estoy ejecutando stunnel 5.01 y también recibo el error "versión incorrecta de SSL" después de hacer el cambio a sslVersion:

[!] Server is down
[.] Reading configuration from file stunnel.conf
[!] Line 4: "sslVersion = TLSv1 TLSv1.1 TLSv1.2": Incorrect version of SSL protocol

Fijo (para mí) Tuve que actualizar Stunnel a v5.06 (versión más actual a partir de hoy). El archivo Conf es exactamente el mismo, así que supongo que hay algún mojo entre v5.01 y v5.06 que va más allá de un simple mortal para entender.