<div dir="ltr">On Wed, Jul 8, 2015 at 7:56 AM, Madhava Gaikwad (madgaikw) <<a href="mailto:madgaikw@cisco.com" target="_blank">madgaikw@cisco.com</a>> wrote:<br>><br>><br>> I am using stunnel 5.03 version. I want to understand how the config option “sslVersion “ and “options ” works.<br>> The problem I am trying to solve is: I want to enable say only particular ssl connect methods, for example sslv3 and TLs1.2. I am not able to do it.<br>><br>> For me if I do below setting:<br>><br>> Options = all<br>> Option = NO_SSLv2<br>> Option = NO_SSLv3<br>> Option = NO_TLSv1<br>> Option = NO_TLSv1.1<br>> Option = NO_TLSv1.2<br>><br>> Still I see all methods are being enabled. I removed Option = all, but no effect. What is expected behavior?<br>><br>> Also, the sslVersion seems enables either particular sslversion, or else all the versions. So wondering what can be the escape mechanism. Any help will be highly appreciated.<br><br>I cannot comment on such an old version of Stunnel (5.03 - Version 5.03, 2014.08.07 - nearly a year old!! from <a href="https://www.stunnel.org/sdf_ChangeLog.html" target="_blank">https://www.stunnel.org/sdf_ChangeLog.html</a> history). You really should update your Stunnel and OpenSSL version, especially if you're using the insecure OpenSSL versions.<div><br></div><div>I asked a similar question in the past, and Mike said that the above should work for allowing multiple versions. Try this, from <a href="https://www.stunnel.org/static/stunnel.html" target="_blank">https://www.stunnel.org/static/stunnel.html</a> man page:<div>sslVersion = all</div><div>options = NO_SSLv2</div><div>options = NO_TLSv1</div><div>options = NO_TLSv1.1</div><div><br></div><div>That should only allow SSLv3 and TLSv1.2 and disallow the other three above. I did test this (i.e., enabling the ones "turned off" in the client) and it does indeed work. See what Mike said at the following URL:</div><div><a href="http://www.stunnel.org/pipermail/stunnel-users/2015-March/004985.html">http://www.stunnel.org/pipermail/stunnel-users/2015-March/004985.html</a><br></div><div><br></div><div>Be sure that you're looking in the right place... there's "enabled by software" and then "enabled by configuration"... the config can limit the software.</div><div><br></div><div>NOTE: The old posts can be searched here:</div><div><a href="http://www.stunnel.org/pipermail/stunnel-users/">http://www.stunnel.org/pipermail/stunnel-users/</a></div><div><br></div><div> -Rob</div></div></div>