Wie TLS Version in ProFTPd anheben?

    • Offizieller Beitrag

    Habe grad meinen Filezilla upgedatet (3.56.0) und konnte mich dann nicht mehr via TLS auf auch nur irgendeinen FTP Account meiner pd-admin Server verbinden. Ging vor dem Update problemlos. Klassisches, unverschlüsseltes FTP ging ebenfalls weiterhin.


    Code
    Status:    Verbindung hergestellt, warte auf Willkommensnachricht...
    Status:    Initialisiere TLS...
    Fehler:    TLS-Warnung vom Server erhalten: Error in protocol version (70)


    Habe dann unter "Bearbeiten" -> "Einstellungen" bei "TLS Options" die Minimum erlaubte TLS Version auf 1.0 runter gestellt. Hier war nach dem Update 1.2 eingestellt. Damit gehts nun wieder.


    die Frage ist, wie kann man das serverseitig lösen, also den proftpd dazu bewegen dass er TLS 1.2 unterstützt?

  • Ich hatte das Problem letzte Woche auch. Mit folgendem Workaround konnte ich mir behelfen:


    Datei /usr/local/pd-admin2/etc/proftpd.conf die TLSProtokollzeile wie folgt geändert.

    TLSProtocol TLSv1.2


    Danach den proftpd dienst neu gestartet.

  • Ab Reihe 4 steht openssl 1.1.1 zur Verfügung. Somit also auch TLS 1.3. Ich habe daher

    Code
    TLSProtocol        TLSv1.2 TLSv1.3

    bei mir drin stehen. Auch kann man in dem Zuge über die verwendeten Ciphers nachdenken. Bei mir kommen

    Code
    TLSCipherSuite                  ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA38

    zum Einsatz. Ist aber natürlich auch abhängig davon wie sehr man "abwärtskompatibel" sein möchte.


    Nachtrag:

    Ich habe mich dabei an die Empfehlung von https://ssl-config.mozilla.org…&ocsp=false&guideline=5.6 gehalten.

    • Offizieller Beitrag

    Hallo,


    ich wende nach einer Neuinstallation immer folgendes Kommando an

    Bash
    CIPHERS=TLS_AES_256_GCM_SHA384:TLS_CHACHA20_POLY1305_SHA256:ECDHE-RSA-AES256-GCM-SHA384:DHE-RSA-AES256-GCM-SHA384
    
    /usr/local/pd-admin2/bin/openssl dhparam -2 -out /etc/ssl/certs/proftpd_dhparams4096.pem 4096 && \
    chmod 600 /etc/ssl/certs/proftpd_dhparams4096.pem && \
    chown nobody:nogroup /etc/ssl/certs/proftpd_dhparams4096.pem
    
    sed -e 's/^TLSProtocol .*$/TLSProtocol TLSv1.2 TLSv1.3/g' \
        -e "s|^TLSRequired .*$|TLSRequired                on\nTLSCipherSuite             ${CIPHERS}\nTLSServerCipherPreference  off\nTLSSessionTickets          off\nTLSStapling               on\nTLSDHParamFile /etc/ssl/certs/proftpd_dhparams4096.pem|g" \
        -i /usr/local/pd-admin2/etc/proftpd.conf

    leider beinhaltet die SE nicht das proftpd Modul mod_tls_shmcache