Recibo el siguiente error al conectarme a nuestro servidor:
Error de GnuTLS -48: se ha detectado una infracción de uso de clave en el certificado. No se pudo conectar al servidor
Este problema apareció después de actualizar a Filezilla v3.24.0 para Windows en una PC que ejecuta Windows 10 Pro con todas las actualizaciones. La versión para Mac (también v3.24.0) funciona normalmente sin errores. No se han realizado cambios en el servidor recientemente.
Información de conexión: Protocolo: FTP - Protocolo de transferencia de archivos Cifrado: Requiere FTP explícito sobre TLS Tipo de inicio de sesión: Solicitar contraseña
Ftptest.net probado en nuestro servidor no muestra ningún problema relacionado. El FTP simple (sin cifrar) funciona, pero no es una buena idea. No pude encontrar una solución a este problema en Google. ¿Alguna sugerencia?
Respuesta1
Consulte esta publicación en el foro de Filezilla:https://forum.filezilla-project.org/viewtopic.php?t=42790
Respuesta2
Este es un problema del lado del servidor y no apareció anteriormente porque las versiones anteriores de FileZilla venían con una versión de GnuTLS que no realizaba esta verificación.
Citando la publicación de Tim Kosse en elHilo del foro de FileZilla:
En cualquier caso, el problema está en la cadena de certificados X.509 de su servidor: el propio certificado del servidor u otro certificado de la cadena tiene una restricción de uso de clave que se viola. Por ejemplo, un certificado con una restricción de uso de clave para la firma no se puede utilizar para autenticar conexiones TLS. Consulte la sección 4.2.1.3 de RFC 5280.
Este es un problema con la generación de certificados de Microsoft IIS (pero también puede ocurrir si generó incorrectamente un certificado con otro método), ya que no permite que los certificados se utilicen para firmas digitales. OpenSSL es mucho más relajado al respecto y no fallará por eso, por lo que puede funcionar con otras aplicaciones.
En el lado del cliente, puede desactivar TLS, cambiar a una versión anterior de FileZilla (ninguna de estas se recomienda debido a posibles riesgos de seguridad) o utilizar un cliente diferente que utilice otra biblioteca como OpenSSL por ahora.
Cómo generar un certificado válido con IIS
Obviamente, esto debe hacerse en el lado del servidor. Si no es el administrador, envíeles estas instrucciones.
Según una publicación en elForos de IIS, puede generar el certificado con PowerShell hasta que Microsoft solucione el problema:
New-SelfSignedCertificate -CertStoreLocation cert:\LocalMachine\My -dnsname ftp.example.com
Reemplace ftp.example.compor el nombre de host de su servidor.
Obtendrá una huella digital, cópiela. Establezca una contraseña para la clave privada:
$password = ConvertTo-SecureString -String "password goes here" -Force -AsPlainText
Ahora expórtelo (puede cambiar C:\cert.pfxa la ruta en la que desea guardarlo, solo asegúrese de que termine en .pfx):
Export-PfxCertificate -cert cert:\LocalMachine\My\FINGERPRINT -FilePath C:\cert.pfx -Password $password