Verbindung via FTPES - unbekanntes Zertifikat bzw. Zertifikat in Kette

  • Hallo,

    obwohl ich schon einiges an Recherchearbeit geleistet habe, bin ich noch zu keinem/r Ergebnis/Erkenntnis gekommen. Vielleicht kann mir hier ja jemand helfen.

    -- Webhosting 2000 SE


    Ich habe einen „privaten“ FTP-User angelegt und dazu auch im Stammverzeichnis den Ordner „privat“ erstellt. Diesen möchte ich für Backups nutzen. Und eben nur dieser Ordner soll für den FTP-User ansteuerbar sein. Via FileZilla z.B.

    Natürlich möchte ich ungern über die unverschlüsselte FTP-Variante eine Verbindung aufbauen. Wie im netcup-wiki zu lesen können Nutzer allerdings FTPES für die Verschlüsselte Anmeldung am FTP-Server nutzen. Dementsprechend habe ich dann auch bei FileZilla im Servermanager unter Protokoll FTP ausgewählt und unter Verschlüsselung Expliziertes FTP über TLS erfordern.

    Wenn ich nun auf verbinden klicke kommt allerdings die Meldung „unbekanntes Zertifikat“ - Mein erstes Fragezeichen ...

    Hier kann ich allerdings noch unter „Zertifikat in Kette“ zwischen:

    0 (Serverzertifikat)

    1 (Zwischenzertifikat)

    2 (Stammzertifikat)

    wählen.


    Wenn ich die Meldung sozusagen ignoriere, klappt die Verbindung und ich gelange in den Ordner. Unter Status bekomme ich folgende Nachricht:

    ...

    Status: Initialisiere TLS...

    Status: Überprüfe Zertifikat...

    Status: TLS-Verbindung hergestellt.

    ...


    Scheint dann ja erfolgreich via FTPES geklappt zu haben (?)


    Ich würde allerdings gern wissen was es mit dem unbekannten Zertifikat auf sich hat und wie das mit der „Zertifikat in Kette“ ist bzw. was man auswählen sollte.


    Vielen Dank für eure Mühe und Zeit!

  • Welche Adresse nutzt du denn als Server für deine Verbindung?

    Nimmst du deine eigene Domain? Dann kommt es zu einem Zertifikatsfehler, ja, da das Zertifikat auf die Netcup-Server ausgestellt ist. Nutze im FTP-Programm stattdessen deine Netcup-Adresse in der Form a2xyz.netcup.net, dann ist auch ein gültiges Zertifikat hinterlegt.

  • Hi DerRené danke der erstmal.
    Ich hatte es unter der Rubrik „Globale Verwaltung und Konfigurationen des Webhostings“ mit meiner IP-Adresse probiert und damit hatte es geklappt.

    Habe nun deinen Rat befolgt und mit meinem Hostingnamen www.hostingXXXXXX.a2XXX.netcup.net, und wie ich per E-Mail mal bekommen habe mit

    a2XXX.netcup.net probiert.

    Beide Wege führen zwar zu einer Verbindung aber jeweils weiterhin mit dem unbekannten Zertifikat wie auch unter der IP-Adresse …

  • Mittels IP wird dir so oder so in den meisten Fällen ein Zertifikatsfehler geschmissen, da Zertifikate i.d.R. auf Domainnamen ausgestellt sind.

    Dann siehe doch mal im Zertifikat nach, welcher Hostname dort hinterlegt wurde (Stichwort: DNS-Name oder Subject Alternative Name (SAN)).


    Ich habe das mal bei mir nachgestellt und mich am falschen Server (xyz.a2xxx.netcup.net) angemeldet und bekomme in WinSCP eine Zertifikatsfehlermeldung. Nachvollziehbar, da das Zertifikat auf *.netcup.net läuft. Heißt: a2xxx.netcup.net ist korrekt und auch das funktioniert bei mir.


    Also, mögliche Ursachen:

    1) du verwendest den falschen Zielserver oder dieser wird im DNS falsch aufgelöst
    2) Datum/Uhrzeit stimmen an deinem Client nicht oder es fehlen wichtige Systemupdates (aber dann würdest du häufiger über Zertifikatsfehler stolpern) Blödsinn, das würde kein unbekanntes Zertifikat anprangern, sondern andere Fehler erzeugen.

    3) Fehler direkt am Hostingserver -> Netcup Support kontaktieren


    Mein Bauchgefühl sagt mir, dass wir uns 1) nochmal näher anschauen sollten. :)

  • So, herzlichen Dank für deine Mühe und die schnellen Antworten!
    Ich bin leider noch ein Leihe und versuche mit Hilfe von Google und Co mich da nach und nach einzufuchsen, daher bitte um Nachsicht :)

    Zu deinen Lösungsvorschlägen bzw. besonders Nr. 1, wie kann ich das den überprüfen?
    Ich habe im Anhang einfach mal zwei Fotos beigefügt. Einmal so, wie die Verbindung im Servermanager angelegt ist und dann das Bild was erscheint, wenn ich mich verbinden möchte. Vielleicht hilft das ja ein wenig :)


    PS: Unter der Rubrik "Protokolle" im Netcup-CCP stoße ich auf folgede Fehlermeldung. Scheint ein "Dauerzustand" zu sein.

    AH01909: hostingXXXXXX.a2XXX.netcup.net:443:0 server certificate does NOT include an ID which matches the server nameFileZilla_Servermanager.jpg

    FileZilla_Unbekanntes-Zertifikat.jpg

  • Ich habe FileZilla ewig nicht mehr verwendet (setze mittlerweile auf WinSCP), aber das sieht grundsätzlich in Ordnung aus und es ist wohl dasselbe *.netcup.net Zertifikat. Selbst dein Fingerprint des Zertifikats scheint übereinzustimmen mit meinem Gegentest - man sieht es nicht ganz, da geschwärzt.


    Mal ein paar grundsätzliche Fragen:

    Welches Betriebssystem setzt du ein? Welche Version? Aktuell gepatcht? Welche FileZilla-Version?

    Hast du es mal mit einem anderen FTP-Client getestet, beispielsweise WinSCP?


    Magst du mal deinen Netcup-Server nennen? (a2xxx.netcup.net) Hier oder als private Nachricht. Aber ich wüsste nicht was dagegen stünde es direkt hier zu nennen, da damit noch lange keine Rückschlüsse auf deinen Account möglich sind.

    Mit dem Servernamen kann man mal einen Gegentest machen und schauen ob es soweit bei anderen funktioniert. Ich bin übrigens auf der Node a2fc4.netcup.net und da klappt alles soweit.

  • Ich nutze Windows 10 Pro, Version 20H2 und die neuste FileZilla Version.
    Habe nun mal WINSCP installiert und da kam keine Meldung und ich wurde direkt erfolgreich verbunden :/ Merkwürdig!
    Mal schauen wie ich das Protokoll bei WINSCP einsehen kann, nicht das im Hintergrund doch irgendeine Meldung kam.


    Ja, ich weiß/wusste nicht genau welche Daten ich lieber schwärzen sollte und welche nicht ;)
    Wobei das nun ja evt. grad gar nicht mal aktuell ist, da es womöglich an FileZilla gelegen hat ?!

  • Alles richtig gemacht, lieber zu viel schwärzen als zu wenig. :thumbup::)


    Na wenn es nun über WinSCP klappt und du dir sicher bist, dass dort die Verschlüsselung auch aktiv ist, dann passt doch alles soweit. ^^


    Normal würde ich eh statt FTP eher SFTP empfehlen, aber dies ist ja bei Netcup leider nur mit dem einen SSH-Nutzer möglich, sodass du keinen eingeschränkten Nutzer für dein Usecase erstellen kannst. Bleibt also nur normales FTPS. Aber solange es klappt, wieso nicht. :)

  • WinSCP zeigt unten das Schlosssymbol und sagt: Sichere Verbindung (TLS/SSL-explizite Verschlüsselung, TLSv1.2).
    Das klingt ja schonmal gut und erfolgreich. Scheint dann wohl also ein Problem mit FileZilla zu sein:/
    Aber ich bleibe dann nun bei WinSCP.
    Tausend Dank dir nochmal!:thumbup:

  • Die Meldung, dass das Zertifikat unbekannt sei, kommt bei mir auch immer (wenn ein Zertifikat erneuert wurde). Das ist ein ganz normales Verhalten von Filezilla und etwas missverständlich.


    Eigentlich will dir Filezilla nur sagen "Ey, dieses Zertifikat habe ich vorher nie gesehen. Bitte check doch mal, ob ich dem so vertrauen soll". Dafür zeigt dir Filezilla auch die einzelnen Zertifikate aus der Kette an. Keine Ahnung ob Filezilla selber keine Root-Zertifikate hat, denen es vertraut, oder ob es wirklich sooo "sicher" ist, dass man das auch nochmal manuell validieren soll.

    RS Brezn | VPS 500 G8 Plus | 2× VPS Karneval 2020 | VPS Pocket Admin | RS Cyber Quack | Webhosting EiWoMiSau


    Dieses Gebäude hat mir die Vorfahrt genommen! *hup*