Verschlüsselungsverfahren Explizit/Implizit

tempolester

Herzlich willkommen!
Hey ;)

Ein letztes Mal ich (ich hoffe, ich überlaste euch nicht) ;)

Kurze Frage wegen der Verschlüsselung: Habe im Server "ausschließlich SSL" eingestellt und in meinem Client "FTPES - FTP über explizites SSL/TLS". Dabei ist mein Ziel höchste Sicherheit.

Wäre es denn sicherer, im Server "inklusive SSL" und im Client "FTPS - FTP über implizites SSL" einzustellen? Ich bin duch das Onlinemanual nicht wirklich schlauer geworden, was denn jetzt sicherer ist. Ist der Unterschied etwa nur der, dass beim Einen SSL erzwungen wird und beim anderen nicht, aber beidesmal eigentlich, wenn es möglich ist, auf die gleiche Weise und zum gleichen Zeitpunkt verschlüsselt wird?

Oder ist eine ganz andere Einstellung sicherer (sprich andere Einstellungskombination Server/Client)?

euer tempolester
 
Du hast es genau erfasst - bei "explizit SSL" ist die Verschlüsselung Pflicht, bei implizit ist sie erlaubt, aber nicht vorgeschrieben. Verschlüsselt wird aber mit der selben Methode.
 
Hey, und Danke für deine Antwort ;)

Ich bin nur noch recht verwirrt, weil ich im Internet dazu immer unterschiedliche Aussagen lese. Vielleicht kommen wir der Sache ja hier auf die Spur. Folgenden Text habe ich gefunden:

Explicit

In explicit mode (also known as FTPES), an FTPS client must "explicitly request" security from an FTPS server and then step-up to a mutually agreed encryption method. If a client does not request security, the FTPS server can either allow the client to continue insecure or refuse/limit the connection.

Implicit

Negotiation is not allowed with implicit FTPS configurations. A client is immediately expected to challenge the FTPS server with a TLS/SSL ClientHello message. If such a message is not received by the FTPS server, the server should drop the connection.

Das heißt jetzt doch, dass eigentlich implizites SSL alles verschlüsselt (die Verschlüsselung Pflicht ist), während beim expliziten SSL die Verschlüsselung erst mal angefordert werden muss, oder? Ich bin verwirrt ;)

Wenn ich die Kombination "Inklusive SSL" (Server) und "implizites SSL" (Client) habe, verschlüsselt er noch vor der Willkommensnachricht, bei der Kombi "Ausschließlich SSL" (Server) und "Explizites SSL" (Client) erst danach. Wäre dann die Kombi mit dem Impliziten nicht besser?

tempolester
 
Zuletzt bearbeitet:
Mal zum Vergleich:

Hab bei mir zwei Routen auf die gleiche IP zu laufen.

- Port 21 - reguläres FTP
- Port 990 - inklusive SSL

damit läufts eigentlich!
Was mich wundert ist, daß ich im Client keinerlei Schlüssel (Key) einstellen muss! Dachte zuerst, daß der für die 990er Verbindung zwingend notwendig ist! Scheint aber zu reichen, wenn der Schlüssel auf dem Server hinterlegt/aktiviert ist!?
 
here you go:

Code:
11/04/04 14:43:05, 630, 109.84.78.183, , new connection from 109.84.78.183 on 192.168.2.2:990 (Implicit SSL)
11/04/04 14:43:05, 630, 109.84.78.183, , establishing encrypted session
11/04/04 14:43:05, 630, 109.84.78.183, , hostname resolved : ip-109-84-78-183.web.vodafone.de
11/04/04 14:43:05, 630, 109.84.78.183, , sending welcome message.
11/04/04 14:43:05, 630, 109.84.78.183, , 220 Gene6 FTP Server v3.10.0 (Build 2) ready...
11/04/04 14:43:05, 630, 109.84.78.183, , USER TheGardner
11/04/04 14:43:05, 630, 109.84.78.183, TheGardner, 331 Password required for TheGardner.
11/04/04 14:43:06, 630, 109.84.78.183, TheGardner, PASS ****
11/04/04 14:43:09, 630, 109.84.78.183, TheGardner, establishing encrypted session

wie geschrieben: ein Zertifikat liegt ja innerhalb der G6 Server Software! Der Connect und Login wird von einem entfernten Rechner (mit Vodafone Mobilstick) vorgenommen und es klappt.
 
Sorry, hätte ich eigentlich gar nicht gebraucht, ich hatte nicht genau hingesehen.
Die Verbindung wird immer über Port 21 aufgebaut - wenn der Client nach SSL fragt (sofern es der Server nicht ohnehin verlangt), zeigt der Server sein Zertifikat vor und der Schlüsselaustausch findet statt.
Ob man eine gezielte Freigabe für den Port 990 überhaupt braucht, hängt vom Router ab - bei der Fritz!Box genügt beispielsweise die Freigabe von Port 21.
 
dachte immer, wenn der Server sein Zertifikat vorzeigt, muss der Client auch (und ganz besonders) eins haben!
Naja, hätten wir das auch geklärt!
 
Der Entscheidende Unterschied ist beim G6 SSL:

Implicit: Selbst die Useranmeldung wird Verschlüsselt Übertragen und benötigt dafür einen extra Port (990).

Bei allen anderen Verfahren werden wenigstens einige BITS unverschlüsselt übertragen (Port 21).

Ergo: Implicit= High Secure

Verschlüsselung mit Public und Private Key ist ein anderes Verfahren (SSH) und FTPs kann keine Zertifikate (Private Key) anfordern.

Testen kann man das auf Online FTP Test by MaXg & Das Wohlfühlboard

Explizit: SSL muss Explizit angefordert werden.
Implizit: Alles Verschlüsselt oder du fliegst raus.

//edit:
Syntx:
Wenn Port 21 mehr als Implitzit kann/darf, kann/darf die Verschlüsselung via Port 21 angefordert werden und alles incl. Useranmeldung wird Verschlüsselt Übertragen.
Bei einer Serverseitigen Implizit Konfiguration erwartet der Server auf einem Exklusiven Port eine Sichere FTP Verbindung und verwirft alle sonstigen Anfragen! (dazu gehört auch FTP sowie FTP mit anschließender Verschlüsselung.)
 
Zuletzt bearbeitet:
perfekt!
Danke für die Ausführungen! Jetzt hab ich das halbwegs verstanden! Wenn ichs mir noch paarmal durchlese isses dann auch verinnerlicht!
 
Oben