Stunnel

Stunnel est un programme de ligne de commande open source conçu pour chiffrer la connexion TCP distante et locale (Transmission Control Protocol) en utilisant le cryptage SSL (Secure Sockets Layer) entre le client et le serveur.

Le logiciel est principalement utilisé pour ajouter des fonctionnalités SSL aux démons IMAP et POP2 / 3. Afin de prendre en charge tout algorithme cryptographique, Stunnel utilise les bibliothèques SSLeay et OpenSSL.

De plus, Stunnel utilise la validation FIPS 140-2, qui fait partie du module d'objets OpenSSL FIPS. Il est actuellement disponible dans les référentiels logiciels par défaut de nombreux systèmes d'exploitation basés sur Linux. Le programme vient également avec le support de diverses autres sockets, y compris IPv6, poll ou systemd.

Pour installer Stunnel dans votre système d'exploitation GNU / Linux, vous devez d'abord télécharger la dernière version de Softoware (elle est distribuée comme archive de sources universelles), l'enregistrer dans un emplacement de votre choix, l'extraire et ouvrir une fenêtre de terminal

Tapez le & ldquo; ./ configure & amp; & amp; faire & rdquo; commande pour configurer et compiler le programme pour votre architecture matérielle et votre système d'exploitation (les architectures prises en charge incluent 32 bits et 64 bits). Après une compilation réussie, vous pouvez taper le & ldquo; make install & rdquo; commande en tant que root ou avec sudo, sans guillemets.

Lors de la première utilisation, le programme tentera de lire son fichier de configuration, qui se trouve dans /usr/local/etc/stunnel/stunnel.conf. Vous serez en mesure d'utiliser un fichier de configuration spécifique, ainsi que de lire le fichier de configuration à partir d'un descripteur de fichier.

Stunnel est écrit entièrement dans le langage de programmation C et il est distribué comme une archive de sources universelles pour optimiser l'application sur votre système GNU / Linux. Il a été installé avec succès sur des machines 32 bits et 64 bits.

Quoi de neuf dans cette version:

• Nouvelles fonctionnalités:
• La liste de chiffrement par défaut a été mise à jour pour une valeur plus sûre: & quot; HIGH:! aNULL:! SSLv2:! DH:! kDHEPSK & quot;.
• Corrections de bogues:
• Adresse d'acceptation par défaut restaurée à INADDR_ANY.

Quoi de neuf dans la version:

• Nouvelles fonctionnalités:
• DLL du moteur PKCS # 11 mise à jour vers la version 0.4.5.
• Interface utilisateur par défaut du moteur définie avec ENGINE_CTRL_SET_USER_INTERFACE.
• Nom de fichier clé ajouté dans l'invite de la console de phrase secrète.
• Optimisation des performances dans la détection de fuites de mémoire.
• Corrections de bogues:
• Correction de plantages avec la branche OpenSSL 1.1.0.
• Correction de la vérification du certificat avec "verifyPeer = yes" et "verifyChain = no" (par défaut), tandis que le pair ne renvoie qu'un seul certificat.

Quoi de neuf dans la version 5.38:

• Nouvelles fonctionnalités:
• & quot; sni = & quot; peut être utilisé pour empêcher l'envoi de l'extension SNI.
• L'indicateur de résolution AI_ADDRCONFIG est utilisé lorsqu'il est disponible.
• Fusionné Debian 06-lfs.patch (merci Peter Pentchev).
• Corrections de bogues:
• Correction d'un bogue d'allocation de mémoire provoquant des plantages avec OpenSSL 1.1.0.
• Correction du traitement des erreurs pour les destinations mixtes IPv4 / IPv6.
• Fusionné Debian 08-typos.patch (par Peter Pentchev).

Nouveautés dans la version 5.30:

• Corrections de bugs de sécurité:
• DLL OpenSSL mises à jour à la version 1.0.2f. https://www.openssl.org/news/secadv_20160128.txt
• Nouvelles fonctionnalités:
• Amélioration de la compatibilité avec l'arborescence OpenSSL 1.1.0-dev actuelle.
• Ajout d'une autodétection OpenSSL pour les versions récentes de Xcode.
• Corrections de bogues:
• Correction des références à / etc supprimées de stunnel.init.in.
• Arrêté même d'essayer -fstack-protector sur des plates-formes non supportées (merci à Rob Lockhart).

Nouveautés dans la version 5.26:

• Corrections de compilation pour OSX, * BSD et Solaris.

Quoi de neuf dans la version 5.17:

• Bugfixes:
• Correction d'un déréférencement de pointeur NULL provoquant le crash du service. Ce bug a été introduit dans stunnel 5.15.

Quoi de neuf dans la version 5.10:

• Nouvelles fonctionnalités:
• Prise en charge OCSP AIA (Authority Information Access). Cette fonctionnalité peut être activée avec la nouvelle option de niveau de service "OCSPaia".
• Des fonctions de sécurité supplémentaires de l'éditeur de liens sont activées: "-z relro", "-z maintenant", "-z noexecstack".
• Corrections de bogues:
• Les DLL OpenSSL ont été mises à jour vers la version 1.0.1l. https://www.openssl.org/news/secadv_20150108.txt
• Canister FIPS mis à jour vers la version 2.0.9 dans la version binaire Win32.

Nouveautés dans la version 5.06:

• Corrections de bugs de sécurité:
• Les DLL OpenSSL ont été mises à jour vers la version 1.0.1j. https://www.openssl.org/news/secadv_20141015.txt
• Le protocole SSLv2 non sécurisé est maintenant désactivé par défaut. Il peut être activé avec "options = -NO_SSLv2".
• Le protocole SSLv3 non sécurisé est maintenant désactivé par défaut. Il peut être activé avec "options = -NO_SSLv3".
• La valeur par défaut de sslVersion a été changée en "all". (également en mode FIPS) pour négocier automatiquement la version TLS la plus prise en charge.
• Nouvelles fonctionnalités:
• Ajout d'options SSL manquantes pour correspondre à OpenSSL 1.0.1j.
• Nouveau & quot; -options & quot; option de ligne de commande pour afficher la liste des options SSL prises en charge.
• Corrections de bogues:
• Correction d'un bug de régression de génération de threads FORK.
• Correction des mises à jour périodiques manquantes du journal de l'interface graphique Win32.

Nouveautés dans la version 4.56:

• Nouvelles fonctionnalités:

Le programme d'installation
• Win32 configure automatiquement les exceptions de pare-feu.

Le programme d'installation
• Win32 configure les raccourcis administratifs pour appeler l'UAC.
• Temps d'arrêt de l'interface graphique Win32 amélioré.
• Corrections de bogues:
• Correction d'un bug de régression introduit dans la version 4.55 provoquant des plantages aléatoires sur plusieurs plateformes, y compris Windows 7.
• Correction de problèmes de démarrage sur certains systèmes Win32.
• Correction de l'erreur "stunnel -exit" synchronisation de processus.
• Détection FIPS fixe avec les nouvelles versions de la bibliothèque OpenSSL.
• L'échec de l'ouverture du fichier journal au démarrage n'est plus ignoré.

Nouveautés dans la version 4.48:

• Les DLL OpenSSL compatibles FIPS sont fournies avec le programme d'installation de Windows.
• Le mode FIPS peut être désactivé avec le paramètre "fips = no". option de fichier de configuration.
• La stabilité de l'interface graphique Windows a également été améliorée.

Nouveautés dans la version 4.46:

• Cette version ajoute un support de socket Unix (par exemple, connect = / var / run / stunnel / socket & quot;) et un nouveau mode de vérification de certificat (& quot; verify = 4 & quot;) pour ignorer l'autorité de certification chaîne et vérifier uniquement le certificat homologue.
• Il inclut également des optimisations de performances et d'évolutivité, ainsi que des corrections de bogues de compilation.

Quoi de neuf dans la version 4.45:

• Nouveau & quot; protocol = proxy & quot; support a été ajouté pour envoyer l'adresse IP du client d'origine à haproxy.
• Cela nécessite l'option de liaison accept-proxy de haproxy 1.5-dev3 ou ultérieure.
• Un certain nombre d'améliorations mineures et de corrections de bogues ont été ajoutées, principalement liées à l'interface graphique Win32 et aux problèmes de compilation sur diverses plates-formes.

Quoi de neuf dans la version 4.39:

• Un nouveau module d'installation de Windows a été ajouté pour créer stunnel.pem signé.
• L'édition du fichier de configuration et la réouverture du fichier journal ont été ajoutées à l'interface graphique de Windows.
• Le rechargement du fichier de configuration avec l'interface graphique Windows a été amélioré.

Nouveautés dans la version 4.38:

• La prise en charge de l'extension TLS par l'indication de nom de serveur (SNI) a été implémentée pour les serveurs virtuels basés sur des noms.
• Stunnel peut maintenant changer de section de service à la volée, en fonction du nom d'hôte de destination inclus dans le message Client Hello.
• De nombreux correctifs ont également été ajoutés pour les bogues introduits dans les versions expérimentales précédentes.

Quoi de neuf dans la version 4.35:

• Nouvelles fonctionnalités:
• Mise à jour des DLL Win32 pour OpenSSL 1.0.0c.
• Source transparente (liaison non locale) ajoutée pour FreeBSD 8.x.
• Destination transparente ("transparent = destination") ajoutée pour Linux.
• Corrections de bogues:
• Correction du rechargement d'un stunnel compatible FIPS.
• Les options du compilateur sont désormais automatiquement détectées par le script ./configure afin de prendre en charge les versions obsolètes de gcc.
• Async-signal-unsafe s_log () supprimé du gestionnaire SIGTERM / SIGQUIT / SIGINT.
• Les fuites de descripteur de fichier CLOEXEC sont résolues sous Linux & gt; = 2.6.28 avec glibc & gt; = 2.10. Les fuites de condition de course irréparables restent sur d'autres plates-formes Unix. Ce problème peut avoir des implications de sécurité sur certains déploiements.
• Répertoire lib64 inclus dans le chemin de recherche de la bibliothèque OpenSSL.
• Corrections de compilation Windows CE (merci à Pierre Delaage).
• RSA_generate_key () obsolète remplacé par RSA_generate_key_ex ().
• Changements de nom de domaine (avec la permission de Bri Hatch):
• http://stunnel.mirt.net/ - & gt; http://www.stunnel.org/
• ftp://stunnel.mirt.net/ - & gt; http://ftp.stunnel.org/
• stunnel.mirt.net::stunnel - & gt; rsync.stunnel.org::stunnel
• stunnel-users@mirt.net - & gt; stunnel-users@stunnel.org
• stunnel-announce@mirt.net - & gt; stunnel-announce@stunnel.org