Gerne korrigiere ich ;) Die Tatsache, dass viele Server zwei unterschiedliche Ports für verschlüsselten und unverschlüsselten Verkehr verwenden, ist hostorisch bedingt!
Die TLS-Serie erlaubt die Nutzung von desselben Ports wie früher, führt jedoch zur initiierung des TLS-verschlüsselten Verkehrs ein neues Schlüsselwort im betreffenden Protokoll ein. Das ist bei LDAP, POP3, FTP, usw überall so und ist ein Kern des Konzepts, da man langsam aufhören sollte pro Protokoll einen Port - und dann noch pro Verschlüsselungsvariante des Ports einen zweiten zu registrieren. Ein Client welcher also TLS traffic wünscht, verbindet ganz normal zu Port 21 und fragt den Server nach der TLS-Capability an mit "AUTH TLS". Nachdem das gelungen ist, würde man nun denselben Port die kommunikation TLS verschlüsseln. Speziell bei FTP gibt es keinen "historischen verschlüsselten port" (es war mal in einem draft der Port 990 vorgeschlagen, der wurde aber wieder entfernt) weshalb ich davon ausgehe, dass man einfach den Transfer auf Port 21 nach dem handshaking mit der Protokollerweiterung encryptet... Aber ich lasse mich auch gerne korrigieren ;-) +-------------------------------+ +-------------------------------+ | Miro Dietiker | | MD Systems Miro Dietiker | +-------------------------------+ +-------------------------------+ -----Ursprüngliche Nachricht----- Von: Jan Kohnert [mailto:[EMAIL PROTECTED] Gesendet: Donnerstag, 1. Dezember 2005 01:19 An: debian-user-german@lists.debian.org Betreff: Re: AW: proftpd und mod_tls Miro Dietiker, MD Systems schrieb: > Und was ist jetzt mit anonymous ftp mit ssl anders? > Im Protokoll der Kommunikation spricht ja noch niemand von einem > Benutzernamen, sondern das scheitert viel früher. AFAIK ist SSL sowas wie eine "eigenes Protokoll". Es wird eine anderer Socket/Port benutzt, der verschlüsselt ist und auf dem setzt dann das jeweilige "eigentliche" Protokoll auch (Beispiele https, ftps, pop3s, imaps). Machst du eine Verschlüsselung über TLS, wird der Stream selbst verschlüsselt, der Socket/Port bleibt derselbe, wie beim Protokoll ohne TLS (Bsp smtp, pop3, imap mit TLS). Ein Beispiel: Du holst deine Nachrichten per pop3s ab: Dein MUA baut eine sichere Verbindung über Port 995 zum Server auf, diese ist SSL-verschlüsselt. Danach pop3-Protokoll, wie normal auch Port 110, allerdings über Port 995 und verschlüsselt. Du holst deine Nachrichten per pop3 mit TLS ab: Dein MUA baut eine "normale" Verbind zum Server auf Port 110 auf. Der Server sagt, er kann TLS, worauf dein MUA mit dem Server über einen Cipher die Verbindung verschlüsselt. Über diese verschlüsselte Verbindung auf Port 110 wird dann wie gehabt das weitere pop3 Protokoll abgearbeitet. Das ist sicherlich eine viel zu einfache Erklärung (korrigiert mich bitte), macht aber trotzdem deutlich, das SSL und TLS zwei ganz unterschiedliche Sachen sind. Ich denke, das ist mit ftp/ftps/ftp mit TLS ähnlich... HTH, als Einleitung... MfG Jan -- OpenPGP Public-Key Fingerprint: 0E9B 4052 C661 5018 93C3 4E46 651A 7A28 4028 FF7A