<div dir="ltr"><div>So I've configured my stunnel to only use TLS1.2  and usually works ok. However when client gets some bad L7 response it send a TCP RST, after which all subsequent stunnel TLS Client Hellos are some hybrid of TLS1.0/TLS1.2, as can be seen in tshark output below. Once I restart the whole stunnel process subsequent TLS handshakes work fine using TLS1.2, until the next client RST is received.<br></div><div><br></div><div>$ stunnel -version<br>stunnel 4.56 on x86_64-redhat-linux-gnu platform</div><div><br></div><div>$ cat /etc/centos-release<br>CentOS Linux release 7.8.2003 (Core)</div><div><br></div><div>$cat /etc/stunnel/dsr2rtcg-stunnel.conf<br>output = /var/log/stunnel<br>pid = /etc/stunnel/stunnel.pid<br>socket = l:TCP_NODELAY=1<br>socket = r:TCP_NODELAY=1<br><br>[poc]<br>cert = /etc/pki/tls/certs/stunnel/aaa.crt<br>key = /etc/pki/tls/private/stunnel/aaa.key<br>CAfile = /etc/pki/tls/certs/stunnel/bbb.crt<br>client = yes<br>sslVersion = TLSv1.2<br>options = NO_TLSv1<br>accept = <a href="http://172.18.180.78:45154">172.18.180.78:45154</a><br>connect = <a href="http://10.74.0.196:45154">10.74.0.196:45154</a><br>ciphers = TLSv1.2+HIGH:!aNULL<br></div><div><br></div><div><br></div><div>$ tshark -nn -V -d tcp.port==45154,ssl -r 20200729_09:42:44-port45154.pcap -2R "ssl.handshake" -c 1 | grep -i tls -B3<br>Secure Sockets Layer<br>    SSL Record Layer: Handshake Protocol: Client Hello<br>        Content Type: Handshake (22)<br>        Version: TLS 1.0 (0x0301)<br>--<br>        Handshake Protocol: Client Hello<br>            Handshake Type: Client Hello (1)<br>            Length: 1610<br>            Version: TLS 1.2 (0x0303)<br></div></div>