先月のアップデート以降、Centos 5.11 および Centos 6.7 では TLS 対応の Proftpd が動作しなくなりました。FileZilla クライアントに接続しようとすると、「TLS を初期化しています...」で停止します。
CentOS 5.11 に Openssl と proftpd バージョンをインストールしました:
openssl-0.9.8e-36.0.1.el5_11
proftpd-1.3.3g-4.el5
CentOS 6.7 に Openssl と proftpd バージョンをインストールしました:
openssl-1.0.1e-42.el6.x86_64
proftpd-1.3.3g-6.el6.x86_64
Proftpd 構成ファイルの TLS 設定:
<IfDefine TLS>
TLSEngine off
TLSRequired off
TLSRSACertificateFile /etc/pki/ssl.cert
TLSRSACertificateKeyFile /etc/pki/ssl.key
TLSCACertificateFile /etc/pki/ssl.ca
TLSProtocol SSLv3 TLSv1
# TLSCipherSuite ALL:!ADH:!DES
TLSOptions AllowClientRenegotiations NoSessionReuseRequired
TLSVerifyClient off
#TLSRenegotiate ctrl 3600 data 512000 required off timeout 300
TLSLog /var/log/proftpd/tls.log
<IfModule mod_tls_shmcache.c>
TLSSessionCache shm:/file=/var/run/proftpd/sesscache
</IfModule>
</IfDefine>
使用される証明書は CA 署名証明書です。TLSProtocol TLSv1.1 および TLSv1.2 を試しましたが、proftpd が起動しません。
私は CentOS 5.11 ボックスを 1 台持っていますが、これには Openssl バージョン openssl-0.9.8e-34.el5_11 がインストールされており、そのボックスでは TLS を使用した FTP が正常に動作しています。
他のホスティング会社がホストしている他の FTP ロケーションに接続しようとしたときにも、同じ問題が発生しました。
ありがとう。
答え1
Spectreがすでに述べたように、Centosの最新バージョン(1.3.3g)はTLS 1.1/1.2では正しく動作しないようです。
バージョン 1.3.5 で発生する問題の潜在的な修正に関するメモについては、次のリンクを参照してください。
引用:TLS 1.1/1.2 configuration now works properly.
したがって、新しいバージョンを自分でコンパイルするという選択肢があるようです。
答え2
ここでも同じ問題があります。
ProFTPd の現在のバージョン (1.3.3g) は tls1.0 をサポートしていないようで、FileZilla の開発者は tls1.0 のサポートを中止しました。
残念ながら、Filezilla と ProFTPd のどちらのドキュメントにも情報が見つからないので、これは単なる推測にすぎません。