AGB  ·  Datenschutz  ·  Impressum  







Anmelden
Nützliche Links
Registrieren
Thema durchsuchen
Ansicht
Themen-Optionen

FTPS Einstellungen

Ein Thema von tkhandel · begonnen am 19. Jan 2023 · letzter Beitrag vom 10. Jul 2023
Antwort Antwort
Seite 2 von 2     12   
mezen

Registriert seit: 13. Jul 2011
Ort: Lippstadt
30 Beiträge
 
Delphi 10.1 Berlin Professional
 
#11

AW: FTPS Einstellungen

  Alt 10. Jul 2023, 07:58
Danke erstmal
Ich bin schon mal weiter ihm/mir fehlt wohl ein Zertifikat
Fehler: routine:ss3_get_server_certificate:cetificate verifiy failed

Wo bekomme ich ein Zertifikat und wie binde ich das dann ein ?
Mit IdSSLIOHandlerSocketOpenSSL1.SSLOptions.VerifyMode := [sslvrfPeer] sagt du dem IO Handler, dass du das Zertifikat des Peers (da du Client bist also das Server Zertifikat) prüfen lassen willst. Da OpenSSL aber nicht den Windows Zertifikats Store nutzt, ist der OpenSSL Zertifikats Store leer und kennt keine vertrauenswürdigen Zertifikate. Dadurch schlägt die Überprüfung des Server Zertifikat fehl. Das sagt ja auch die Fehlermeldung "certificate verifiy failed".

Du hast nun mehrere Möglichkeiten:

a)
Einfach die Zertifikats Überprüfung abschalten IdSSLIOHandlerSocketOpenSSL1.SSLOptions.VerifyMode := [] . Damit bist du natürlich für MitM Angriffe anfällig. Wäre aber absolut valide, wenn du die Sicherheit auf andere Ebenen verlagerst.

b)
Du lädst das Server Zertifikat oder das CA Zertifikat vom Server herunter und gibst die Datei in deinem Programm mittels IdSSLIOHandlerSocketOpenSSL1.SSLOptions.CertFile := 'C:\Path\to\CA.crt' an. Sollte mal ein Zertifikat von einer anderen CA eingesetzt werden, schlägt die Verbindung aber, wie jetzt auch, fehl.

c)
Du enumerierst, zur Laufzeit, den Windows Zertifikat Store, konverst die gefundenen Zerts ins OpenSSL Format und trägst diese in den OpenSSL Zertifikats Store ein. So kann OpenSSL auch ganz normal die Überprüfung durchführen und du bist auf einer relativ sicheren Seite.

d)
Du machst die Zertifikats Überprüfung selber. Bitte beachte dabei nur, dass einige die Meinung vertreten, dass dies der "most dangerous code in the world" ist.



Unabhängig von deiner Lösung für die Zertifikats Validierung empfehle ich dir noch IdSSLIOHandlerSocketOpenSSL1.SSLOptions.SSLVersions = [sslvTLSv1, sslvTLSv1_1, sslvTLSv1_2] zu setzen, damit du auch TLS 1.1 und TLS 1.2 akzeptierst. Wenn du die BSI Richtlinien umsetzen willst, dann solltest du sogar nur TLS 1.2 akzeptieren IdSSLIOHandlerSocketOpenSSL1.SSLOptions.SSLVersions = [sslvTLSv1_2] . Den Wert von IdSSLIOHandlerSocketOpenSSL1.SSLOptions.Method ignorier dabei, der wird durch den Setter von SSLVersions verändert und ist eh eine veraltete Property aus Indy 9.

Dazu solltest du besser die Eigenschaften IdSSLIOHandlerSocketOpenSSL1.Host , IdSSLIOHandlerSocketOpenSSL1.Port und IdSSLIOHandlerSocketOpenSSL1.PassThrough nicht selber setzen, das setzt die FTP Komponente schon für dich. Gerade das PassThrough kann sogar hinderlich sein!
  Mit Zitat antworten Zitat
Antwort Antwort
Seite 2 von 2     12   


Forumregeln

Es ist dir nicht erlaubt, neue Themen zu verfassen.
Es ist dir nicht erlaubt, auf Beiträge zu antworten.
Es ist dir nicht erlaubt, Anhänge hochzuladen.
Es ist dir nicht erlaubt, deine Beiträge zu bearbeiten.

BB-Code ist an.
Smileys sind an.
[IMG] Code ist an.
HTML-Code ist aus.
Trackbacks are an
Pingbacks are an
Refbacks are aus

Gehe zu:

Impressum · AGB · Datenschutz · Nach oben
Alle Zeitangaben in WEZ +1. Es ist jetzt 17:28 Uhr.
Powered by vBulletin® Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.
LinkBacks Enabled by vBSEO © 2011, Crawlability, Inc.
Delphi-PRAXiS (c) 2002 - 2023 by Daniel R. Wolf, 2024 by Thomas Breitkreuz