Connecter K. FTP par TLS échoue d'un client, mais a réussi d'un autre

Tenter de se connecter à partir du client à l'aide des travaux suivants:

client2@client2 curl -v --ssl -u 'user:password' ftp://www.example.com:21
* Rebuilt URL to: ftp://www.example.com:21/
* Trying 192.168.177.186...
* Connected to www.example.com (192.168.177.186) port 21 (#0)
< 220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
< 220-You are user number 1 of 50 allowed.
< 220-Local time is now 09:16. Server port: 21.
< 220-This is a private system - No anonymous login
< 220-IPv6 connections are also welcome on this server.
< 220 You will be disconnected after 15 minutes of inactivity.
> AUTH SSL
< 500 This security scheme is not implemented
> AUTH TLS
< 234 AUTH TLS OK.
* found 148 certificates in /etc/ssl/certs/ca-certificates.crt
* found 592 certificates in /etc/ssl/certs
* ALPN, offering http/1.1
* SSL connection using TLS1.2 / ECDHE_RSA_AES_256_GCM_SHA384
* server certificate verification OK
.
.
.
* Connect data stream passively
* ftp_perform ends with SECONDARY: 0
< 229 Extended Passive mode OK (|||35104|)
* Connecting to 192.168.177.186 (192.168.177.186) port 35104
* Connected to www.example.com (192.168.177.186) port 21 (#0)
> TYPE A
< 200 TYPE is now ASCII
* Remembering we are in dir ""
< 226-Options: -a -l
< 226 6 matches total
* Connection #0 to host www.example.com left intact

Tenter de se connecter à partir du client ne fonctionne pas:

client1@client1:~> curl -v --ssl -u 'user:pass' ftp://www.example.com:21
* About to connect() to www.example.com port 21 (#0)
* Trying 192.168.177.186...
* connected
* Connected to www.example.com (192.168.177.186) port 21 (#0)
< 220---------- Welcome to Pure-FTPd [privsep] [TLS] ----------
< 220-You are user number 1 of 50 allowed.
< 220-Local time is now 09:15. Server port: 21.
< 220-This is a private system - No anonymous login
< 220-IPv6 connections are also welcome on this server.
< 220 You will be disconnected after 15 minutes of inactivity.
> AUTH SSL
< 500 This security scheme is not implemented
> AUTH TLS
< 234 AUTH TLS OK.
* successfully set certificate verify locations:
* CAfile: none
CApath: /etc/ssl/certs/
* SSLv3, TLS handshake, Client hello (1):
* Unknown SSL protocol error in connection to www.example.com:21
* Closing connection #0
curl: (35) Unknown SSL protocol error in connection to www.example.com:21

Quelle pourrait-être la cause?
Invité:

Dominique

Confirmation de:

Avec une connexion réussie

client2

Les usages TLS 1.2, Indiquant que les deux extrémités le supportent:

> AUTH SSL
< 500 This security scheme is not implemented
> AUTH TLS
< 234 AUTH TLS OK.
...
* SSL connection using TLS1.2 / ECDHE_RSA_AES_256_GCM_SHA384

Avec une connexion infructueuse

client1

On dirait essayer d'utiliser célèbre cassé SSLv3:

* SSLv3, TLS handshake, Client hello (1):
* Unknown SSL protocol error in connection to www.example.com:21

Je suppose que la bibliothèque SSL, cette

curl

Utilisations sur

client1

(OpenSSL? GnuTLS? Autre chose?) Trop vieux pour soutenir TLS1.2 et / ou des algorithmes de cryptage reçus par le serveur. Il essaie de revenir complètement aux algorithmes de cryptage ERA. SSLv3, et le serveur rejette tous les protocoles / Les algorithmes de cryptage offerts par le client sont trop faibles ou cassés.

Comme vous avez laissé le nom de l'hôte sans désinfection en bas

client2

sortie que j'ai envoyée URL À l'autre
https://www.ssllabs.com/ssltest/
et il semble que le serveur soit requis au moins TLS 1.1.

Réparer client1, Vous devez découvrir quelle bibliothèque SSL / TLS Utilisé

curl

Sur cet hôte (

ldd $(which curl)

Peut-être qu'il y a utile) Et assurez-vous que la bibliothèque est mise à jour autant que possible.

Mais si client1 utilise la distribution obsolète Linux, Ce qui n'a plus de support de sécurité active, peut ne pas être disponible assez de nouveau package de bibliothèque mis à jour SSL / TLS. À ce stade, vous devrez peut-être rechercher une version mise à jour. curl + Bibliothèque pertinente SSL / TLS Dans un référentiel tiers ou compiler votre propre.

Pour répondre aux questions, connectez-vous ou registre