Fehler: TLS-Warnung vom Server erhalten: Error in protocol version (70)

Probleme mit Samba, NFS, FTP und Co.
Antworten
Benutzeravatar
xJ9
Beiträge: 41
Registriert: 26.07.2012 10:21:52
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig

Fehler: TLS-Warnung vom Server erhalten: Error in protocol version (70)

Beitrag von xJ9 » 10.07.2019 10:42:19

Hallo Community,

ich habe seit heute morgen ein kleines Problem mit meinem proftpd, den ich auf meinem Debianserver installiert habe.
Man muss dazu sagen, dass er seit 2 Jahren am Stück nonstop lief ohne Probleme.
Jetzt habe ich allerdings das Upgrade von Debian 9.9 auf 10.0 durchgeführt und seitdem läuft es leider nicht mehr.
Als Client nutze ich FIlezilla, der Error sieht wie folgt aus:

Code: Alles auswählen

Status:	Verbindung hergestellt, warte auf Willkommensnachricht...
Status:	Initialisiere TLS...
Fehler:	TLS-Warnung vom Server erhalten: Error in protocol version (70)
Fehler:	Herstellen der Verbindung zum Server fehlgeschlagen
Status:	Nächsten Versuch abwarten...
Status:	Verbinde mit xx.xx.xxx.x:61905...
Status:	Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort:	220 ProFTPD Server (Debian) [xx.xx.xxx.x]
Befehl:	AUTH TLS
Antwort:	234 AUTH TLS successful
Status:	Initialisiere TLS...
Fehler:	TLS-Warnung vom Server erhalten: Error in protocol version (70)
Fehler:	Herstellen der Verbindung zum Server fehlgeschlagen
Wir Ihr seht nutze ich Verschlüsselung Explizites FTP über TLS.
Wie gesagt, das ganze ist erst seit dem Upgrade.



Grüße

schwedenmann
Beiträge: 5525
Registriert: 30.12.2004 15:31:07
Wohnort: Wegberg

Re: Fehler: TLS-Warnung vom Server erhalten: Error in protocol version (70)

Beitrag von schwedenmann » 10.07.2019 11:20:42

Hallo


Welche TLS-Version (Protokoll) verwendet

a. der ftp-server) ?
b. buster ?


Ich würde da zuerst suchen.

mfg
schwedenmann

Benutzeravatar
habakug
Moderator
Beiträge: 4313
Registriert: 23.10.2004 13:08:41
Lizenz eigener Beiträge: MIT Lizenz

Re: Fehler: TLS-Warnung vom Server erhalten: Error in protocol version (70)

Beitrag von habakug » 10.07.2019 12:10:32

Hallo,

der Hinweis steht in den Release-Notes [1] in Kapitel "5.1.7. OpenSSL-Standard-Version und erhöhtes Sicherheits-Level".
[1] hat geschrieben:Verschiedenen Sicherheitsempfehlungen folgend, wurde die standardmäßig als Minimum erforderliche TLS-Version von TLSv1 auf TSLv1.2 erhöht.
Es wäre ein Bearbeiten der /etc/ssl/openssl.cnf nötig um das zurückzubauen. Aber
[1] hat geschrieben:Es wird empfohlen, dass Sie die Verantwortlichen der anderen, fernen Seite der Verbindung kontaktieren, falls diese Standardwerte Probleme verursachen.
;-)

Gruss, habakug

[1] https://www.debian.org/releases/buster/ ... on.de.html
( # = root | $ = user | !! = mod ) (Vor der PN) (Debianforum-Wiki) (NoPaste)

Benutzeravatar
xJ9
Beiträge: 41
Registriert: 26.07.2012 10:21:52
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig

Re: Fehler: TLS-Warnung vom Server erhalten: Error in protocol version (70)

Beitrag von xJ9 » 10.07.2019 13:34:48

schwedenmann hat geschrieben: ↑ zum Beitrag ↑
10.07.2019 11:20:42
a. der ftp-server) ?
Also in der /etc/proftpd/tls.conf steht folgendes:

Code: Alles auswählen

TLSProtocol                             SSLv23
schwedenmann hat geschrieben: ↑ zum Beitrag ↑
10.07.2019 11:20:42
b. buster ?
In der /etc/ssl/openssl.cnf habe ich folgendes gefunden

Code: Alles auswählen

[system_default_sect]
MinProtocol = TLSv1.2
CipherString = DEFAULT@SECLEVEL=2
Das ist dass, was habakug bereits meinte.


habakug hat geschrieben: ↑ zum Beitrag ↑
10.07.2019 12:10:32
[1] hat geschrieben:Es wird empfohlen, dass Sie die Verantwortlichen der anderen, fernen Seite der Verbindung kontaktieren, falls diese Standardwerte Probleme verursachen.
;-)
Wenn damit der Zielserver gemeint ist, mit dem ich mich gerade zu verbinden versuche, dann bin ich der Verantwortliche :P


Grüße

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Fehler: TLS-Warnung vom Server erhalten: Error in protocol version (70)

Beitrag von wanne » 10.07.2019 13:47:27

Code: Alles auswählen

TLSProtocol                             SSLv23
Aua! Das ist seit 1999 als gebrochen!
Beeindruckend, dass sich da nicht schon viel länger alles mögliche drüber beschwert hat.
Schmeiß die Zeile raus!
rot: Moderator wanne spricht, default: User wanne spricht.

Benutzeravatar
xJ9
Beiträge: 41
Registriert: 26.07.2012 10:21:52
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig

Re: Fehler: TLS-Warnung vom Server erhalten: Error in protocol version (70)

Beitrag von xJ9 » 10.07.2019 14:35:46

wanne hat geschrieben: ↑ zum Beitrag ↑
10.07.2019 13:47:27
Aua! Das ist seit 1999 als gebrochen!
Beeindruckend, dass sich da nicht schon viel länger alles mögliche drüber beschwert hat.
Schmeiß die Zeile raus!
Echt so schlimm? Es war halt die Standartversion, normal aus der Repo installiert. Modifiziert, aber den Part natürlich nicht.
Habe es jetzt mit

Code: Alles auswählen

TLSProtocol 							TLSv1.2
probiert, aber bekomme leider immer noch einen Error:

Code: Alles auswählen

Status:	Verbindung hergestellt, warte auf Willkommensnachricht...
Antwort:	220 ProFTPD Server (Debian) [xx.xx.xxx.x]
Befehl:	AUTH TLS
Antwort:	234 AUTH TLS successful
Status:	Initialisiere TLS...
Fehler:	TLS-Warnung vom Server erhalten: Handshake failed (40)
Fehler:	Herstellen der Verbindung zum Server fehlgeschlagen
Inzwischen ist es Handshake failed.
Habe natürlich auch gleich ein neues Zertifikat erstellt, proftpd neugestartet, aber nichts bisher.

Benutzeravatar
xJ9
Beiträge: 41
Registriert: 26.07.2012 10:21:52
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig

Re: Fehler: TLS-Warnung vom Server erhalten: Error in protocol version (70)

Beitrag von xJ9 » 10.07.2019 14:46:41

Problem gelöst.
Habe bei auf v1.2 gestellt, musste aber

Code: Alles auswählen

CipherString = DEFAULT@SECLEVEL=2
auf DEFAULT setzen.

Eventuell gibt es auch eine Lösung für die @SECLEVEL=2 Variante.


Grüße

wanne
Moderator
Beiträge: 7448
Registriert: 24.05.2010 12:39:42

Re: Fehler: TLS-Warnung vom Server erhalten: Error in protocol version (70)

Beitrag von wanne » 10.07.2019 15:04:05

Es war halt die Standartversion, normal aus der Repo installiert. Modifiziert, aber den Part natürlich nicht.
Das ist das was aus dem Repo kommt:
pastebin/?mode=view&s=40785
Das ist da auskommentiert.
Inzwischen ist es Handshake failed.
Dann kommt er ja schonmal einen Schritt weiter.
Aber keine Ahnung, was du da noch so konfiguriert hast. Kannst du villeicht mal einen dump (Von tcshark oder so) hochladen?

Code: Alles auswählen

CipherString = DEFAULT@SECLEVEL=2
Das ist jetzt nicht ganz kaputt. In TLS 1.2 sind eh keine Ciphers unter 128 bits drin insofern macht das nichts und 112Bits sind auch ordentlich.

Aber Trotzden: Du hast doch offensichtlich nicht die geringste Ahnung an was du da rumspielst und hast dir die Security bestimmt an nochmal 50 Stellen zerschossen.
Lass die entsprechenden Optionen bitte einfach weg. Statt irgend welchen 20 Jahre alten scheiß irgend wo aus dem Internet zu kopieren.
Die defaults die Openssl setzt sind nicht dumm und du weißt es garantiert nicht besser.
rot: Moderator wanne spricht, default: User wanne spricht.

Antworten