home *** CD-ROM | disk | FTP | other *** search

---

/ Columbia Kermit / kermit.zip / newsgroups / misc.20031118-20041115 / 000186_jaltman2@nyc.rr.com_Mon Apr 12 08:49:05 2004.msg

< prev

next >

Wrap

Internet Message Format  |  2020-01-01  |  5KB

---

1. Path: newsmaster.cc.columbia.edu!iad-feed.news.verio.net!peer1.stngva01.us.to.verio.net!news.verio.net!news.glorb.com!border1.nntp.ash.giganews.com!border2.nntp.ash.giganews.com!nntp.giganews.com!feed5.newsreader.com!newsreader.com!news3.optonline.net!cyclone.rdc-nyc.rr.com!news-out.nyc.rr.com!twister.nyc.rr.com.POSTED!53ab2750!not-for-mail
2. Message-ID: <407A073D.7040004@nyc.rr.com>
3. From: Jeffrey Altman <jaltman2@nyc.rr.com>
4. User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7b) Gecko/20040316
5. X-Accept-Language: en-us, en
6. MIME-Version: 1.0
7. Newsgroups: comp.protocols.kermit.misc
8. Subject: Re: FTP with Auth SSL
9. References: <c5bv8301ck0@drn.newsguy.com> <GWfec.23377$Nn4.4630542@twister.nyc.rr.com> <c5clci0adl@drn.newsguy.com>
10. In-Reply-To: <c5clci0adl@drn.newsguy.com>
11. Content-Type: text/plain; charset=us-ascii; format=flowed
12. Content-Transfer-Encoding: 7bit
13. Lines: 101
14. Date: Mon, 12 Apr 2004 03:02:44 GMT
15. NNTP-Posting-Host: 24.193.46.55
16. X-Complaints-To: abuse@rr.com
17. X-Trace: twister.nyc.rr.com 1081738964 24.193.46.55 (Sun, 11 Apr 2004 23:02:44 EDT)
18. NNTP-Posting-Date: Sun, 11 Apr 2004 23:02:44 EDT
19. Organization: Road Runner - NYC
20. Xref: newsmaster.cc.columbia.edu comp.protocols.kermit.misc:14899
21.  
22. Petri wrote:
23.  
24. > In article <GWfec.23377$Nn4.4630542@twister.nyc.rr.com>, Jeffrey Altman says...
25. > 
26. >>Secure Sockets Layer is the name Netscape gave the
27. >>protocol when it was proprietary.  After it was donated to
28. >>the IETF and modified to fix some minor security design issues,
29. >>the protocol was renamed to Transport Layer Security.
30. > 
31. > 
32. > Yes, I am aware of that historical fact. :)
33. > The reason I wondered why it complained about TLS when I had specified SSL, is
34. > that there seem to exist something called "auth ssl" and "auth tls", which is
35. > something I have to specify correctly in my FTP client when connecting to these
36. > FTP-servers:
37. > http://www.ford-hutchinson.com/~fh-1-pfh/ftps-ext.html
38.  
39. The distinction between FTP AUTH SSL and FTP AUTH TLS has nothing to do 
40. with the TLSv1 or SSLv3 protocol which is used.  If the string "SSL" is
41. negotiated then the semantics for the FTP command channel are different
42. than if "TLS" is used.  "SSL" is not a standard and should not be used
43. unless you have no other choice.
44.  
45. Internally, the protocol which is negotiated is TLSv1.
46.  
47. >>You are not providing enough information to diagnose where
48. >>the TLS connection is failing.
49. > 
50. > 
51. > Sorry, I search the documentation for debug options, and only found "set ftp
52. > debug on".
53. > 
54. > 
55. >>Try turning on debugging:
56. >>    SET AUTH TLS DEBUG ON
57. > 
58. > 
59. > Where did you find that? :)
60. > It's not mentioned here:
61. > http://www.columbia.edu/kermit/ckermit80.html
62.  
63. Try reading the Security Documentation
64.  
65.    http://www.columbia.edu/kermit/security.html
66.  
67. which describes the implementation of SSL/TLS, Kerberos, SRP, X.509 
68. certs, etc.
69.  
70.  
71. > Thanks for the tip!
72. > Very strange, if I add that line to the kermit script, I get this output when
73. > running the script:
74. > ?No keywords match - debug
75. > 
76. > But if I write it at the prompt after the script has run, it is accepted.
77. > 
78. > This output is after having logged in with the script listed earlier and having
79. > typed the command above:
80. > ---8<---
81. > (/home/petri/) C-Kermit>set auth tls debug on
82. > (/home/petri/) C-Kermit>ftp dir
83. > ---> TYPE A
84. > 200 Type set to A.
85. > ---> PASV 
86. > 227 Entering Passive Mode (127,0,0,1,128,154)
87. > ---> LIST 
88. > 150 Opening ASCII mode data connection for directory listing.
89. > =>START SSL connect on DATA
90. > SSL_handshake:UNKWN  before/connect initialization
91. > SSL_connect:UNKWN  before/connect initialization
92. > SSL_connect:3WCH_A SSLv3 write client hello A
93. > SSL_read_alert
94. > SSL_connect:failed in 3RSH_A SSLv3 read server hello A
95. > ftp: SSL_connect DATA error: error:14094417:SSL routines:SSL3_READ_BYTES:sslv3
96. > alert illegal parameter
97. > (/home/petri/) C-Kermit>exit
98. > ---> QUIT 
99. > 435 Failed TLS negotiation on data channel, disconnected: No such file or
100. > directory.
101. > SSL_write_alert
102. > ---8<---
103.  
104. A firewall is dropping the connection after the initial client
105. hello is sent.
106.  
107.  
108. > The more detailed debug output seems to indicate something that looks like a
109. > protocol failure.
110. > I know glftpd isn't exactly a crowning achievement of software engineering,
111. > maybe there is a way in C-Kermit to specify a more relaxed ssl/tls negotiation?
112. > But of course, FTP sessions work great from FTP clients on both Windows and
113. > Linux, so that would rule out fatal server side problems.
114. > Is there some configuring in kermit I could try to circumvent this problem?
115. > 
116. > Thanks for your help!
117. > 
118. > 
119. > Petri
120.  
121. The problem is not in Kermit.
122.