Gelöst: OpenSSL 3.0 und OpenSSL 1.1.1w inkompatibel

GwenDragon

Registered User
Manche FTPS-Clients sind mit OpenSSL 3.0 kompiliert wahrend andere OpenSSL 1.1.1 verwenden.
Solche Clients mit libssl (OpenSSL 3.0) versagen dann auf dem Server, stürzen ab oder hängen dauerhaft, wenn der nur libssl 1.1.1 hat. TLS 1.2 und TLS 13. läuft dort serverseitig. mod_ssl von proftpd ist so ein Kandidat.
Nur wieso läuft der Client mit libssl (OpenSSL 3.x) nicht auf einen FTP-Server mit libssl 1.1.1, sind doch beide TLS 1.2/1.3?
TLSOptions EnableDiags ist zwar sinnvoll, aber ich bekomme nicht interpretiert was los ist, wenn proftpds mod_tls mit OpenSSL panict in Systemlog.
 
Wenn openssl-1.1 und openssl-3.0 auf der gleichen physischen Maschine gemixt werden, dann gibt es mehrere ABI-Inkompatibilitäten und es kommt zu verschiedensten unberechenbaren Problemen.
Never ever mix multiple (major/minor) versions of the same libs!

Wenn beide auf unterschiedlichen Systemen installiert sind, dann gibt es keine Probeme, da die Protokolle gleich sind (ausser dass openssl-3.0 per default kein TLS <= 1.1 mehr spricht und mehrere veraltete/unsichere Ciphers nicht mehr unterstützt).
 
Ich habe vor längerer Zeit versucht meinem proftpd auch mal SSL beizubringen - habe es aber nie so richtig stabil zum laufen bekommen. Die FTP-Clients waren da verschiedene Windows-Programme, eins lief etwas besser, das nächter schlechter aber wirklich gut lief keines. Ich habe dann auf sftp umgestellt und den proftpd auf meinem Server deinstalliert. Seitdem läufts stabil. Ich habe es damals aufs NAT vom Router geschoben, aber nicht genauer untersucht - vielleicht war es ja doch die TLS-Implementation von proftpd.
 
Wenn openssl-1.1 und openssl-3.0 auf der gleichen physischen Maschine gemixt werden
Nee, das ist es nicht; unterschiedliche Maschinen mit 3.x oder 1.x.
Und ich mixe keine libs, ich bn mir bewusst, das sowas um die Ohren fliegen kann. ;-)

da die Protokolle gleich sind (ausser dass openssl-3.0 per default kein TLS <= 1.1 mehr spricht und mehrere veraltete/unsichere Ciphers nicht mehr unterstützt).
Ich hatte sowas im Kopf, aber ich war unsicher, ich hätte irgendwas nicht mitbekommen was OpenSSL 3.x nicht mehr macht.
Also sind sie mit modernen TLS-Protokollen und Ciphers kompatibel.
Das war was ich wissen wollte. :)

Danke. (y)

Ich habe vor längerer Zeit versucht meinem proftpd auch mal SSL beizubringen - habe es aber nie so richtig stabil zum laufen bekommen.
Es geht so, solange der Client reconnects macht, denn aus irgendeinem Grund verliert nach einigen Transfers mod_tls die Verbindung.

Die FTP-Clients waren da verschiedene Windows-Programme, eins lief etwas besser, das nächter schlechter aber wirklich gut lief keines.
Ist auch meine Erfahrung gewesen. WinSCP ist da so ein Fall, das nicht stabil will.



Leider muss ich FTP auf dem Server bereit stellen, Kunde will das.
Aber vielleicht ist SFTP eine Lösung. Mal sehen.
 
Auf Linux läuft alles wie geschmiert bei denen, die libgnutls haben, keine Abbrüche.
Ich glaube eher bei Windows-Clients, wo es hakt, dass deren OpenSSL-3-Lib irgendwie verbockt sind.
 
So, mittlerweile konnte ich mit WinSCP 6.3.1 beim Kunden testen und auch bei FTPES (TLS 1.2/1.3) läuft es jetzt.
Danke eines Bugfixes, schließlich habe ich den auch am 15.2 an WinSCP gemeldet (https://winscp.net/tracker/2261).

Andere synchronisierende FTPS-Clients mit OpenSSL3-Lib konnte ich mangels Verfügbarkeit auf Linux oder Windows nicht austesten.
Ich belasse est erst mal dabei, dass es wohl klappen kann, wenn nicht werde ich hier nochmals posten und die defekten Clients listen.
 
Last edited:
@Joe User Bei WinSCP 6.2/6.3 war es definitiv ein Bug.

Andere Clients konnte ich eben nicht testen, weil ich keine für OpenSSL3 gefunden habe, was aber eben mein Wunsch war, sonst hätte ich hier nicht nach Unterschieden zwischen OpenSSL 1.1.x und 3.x gefragt ;-)

Oder welche FTP-Clients mit GUI kennst du, die OpenSSL 3 verwenden?

//EDIT:
gFTP verbindet nicht, ist aber auch beta.
Konqeror (KIO, libssl3) läuft ohne Abbrüche. Da sonst so hakeliges wie KDE/KIO läuft, funktionier libssl3 auch auf Linux gut für den GTPS-Connect.

Dann kann ich beruhigt meine Testen abschließen.
 
Last edited:
Alle FTP-Clients mit GUI können SSLv3. Allerdings nicht die aktuellen Versionen, sondern die Versionen von vor X Jahren.

Vergiß es. Du meinst wohl die neue OpenSSL 3.
 
Last edited:
Du meinst wohl die neue OpenSSL 3.
Einfach die Überschrift lesen :LOL:

Unerfahren bin ich nicht, ich weiß, was SSL3 (Protocol) und OpenSSL 1.1 und OpenSSL 3.0 (Lib) ist, dazu braucht eine keinen Doktor-Titel, nur ein klein bisschen Informatik und Praxis/Erfahrung.
Na, kann mal passieren, dass einer falsch liest, ist dir verziehen. :geek:
 
Seltsam, das Forum zeigt nicht unten an, wenn ich im Thread bin und neuere Posts von Anderen geschrieben wurden, deswegen meine verspätete Reaktion. Das ging doch mal, oder?
Ich bin’s von anderen Foren gewöhnt, dass eine Neues sieht ohne Reload im Browser oder "New Posts" zu klicken.

Vielleicht irgendein Forenupdate, was das entfernt hat?
 
Ich muss ehrlich gesagt gestehen, dass ich den Versionssprung OpenSSL 1.x -> 3.x noch nicht bewusst wahrgenommen habe. Deswegen habe ich mich gefragt, ob das nicht eine Verwechslung war.

Ansonsten sehe ich das so, dass das ja nur ein temporäres Problem sein kann. Falls das so ist, dass die Clients direkt die OpenSSL Library benutzen, ist es doch nur eine Frage der Zeit, bis dann alle auf OpenSSL 3.x sind. Falls das so ist, braucht es für die Überbrückung ja nur einen Workaround.
 
Unter Linux laufen Connections+Syncs wie geschmiert mit libssl3 auf alten Servern mit libssl1.1.
Und unter Windows konnte ich nur einen Client, nämlich WinSCP 6.2&6.3 finden, aber der ist auch nun gefixt dank meiner Meldung and den Programmautor.
Bekannte/Freunde/teilweise auch Kunden von mir benutzten Win SCP 6.3 und der Client hatten Freezes auf diversen Server mit libssl1.1.
Nun ja, zum Glück behoben bei dem Windows-Client.

Manchmal laufen Linux-GUI & Shell-FTP-Programme stabiler als Windows-Clients. (y):cool:

Somit ist das Problem gegessen. :)
Da ich Post #1 + Titel nicht edieren kann, lässt es sich der Thread auch nicht als "Gelöst" markieren. //EDIT: Oh, da hat Thorsten oder ein Moderator das im Titel geändert. Gut :-)
 
Last edited:
Back
Top