Microsoft IIS 7.5/8.X FTP Server – TLS Problem Fix

Jeder Betreiber eines Windows Servers ist mehr oder weniger auf die Sicherheit dessen bedacht. Nur wie steht es mit der Sicherheit für den Besucher? Meistens wird das unverschlüsselte HTTP verwendet, welches von jedem mitgelesen werden kann, aber der IIS-Webserver kann auch SSL und TLS 1.1/1.2. Letzteres muss jedoch erst in der Registry aktiviert werden und führt zu einem Problem mit dem integrierten FTP-Service und dem Client FileZilla.

Fordert man mit dem IIS nun eine verschlüsselte Verbindung an und überträgt Daten zum Server bricht er direkt nach der Übertragung mit der Antwort 550 ab.

IIS TLS Problem

Der Hohn: die Datei wurde bereits fertig übertragen, nur die Antwort des Clients passt dem Server nicht.
Ist dabei die Option zum Löschen unfertiger Dateien im IIS nicht abgeschalten, wird die fertige Datei daraufhin wieder gelöscht.

Dumm gelaufen… Nein nicht wirklich.

Dieses Problem ist auf vier Wegen lösbar:

  1. Man priorisiert den anfälligen SSL Chiffre „TLS_RSA_WITH_RC4_128_SHA“,
  2. man verwendet einen anderen FTP-Client,
  3. einen alternativen FTP-Server, oder…
  4. … installiert einen Hotfix von Microsoft

Der Hotfix ist definitiv die schönste Lösung, da das Problem hier endgültig aus der Welt geschaffen wird. Die unschöne Priorisierung ist lediglich ein Workaround und mindert zudem die Sicherheit der SSL-Verschlüsselung des FTP- aber auch des Webservers.
Jedoch ist das im Moment (17.02.2015) die einzige Möglichkeit FileZilla zur Arbeit mit IIS und TLS zu überreden, solange man einen vServer per Parallels Virtuozzo o. ä. sein Eigen nennt.

Solltest das bei dir der Fall sein, kann ich für Änderungen an diesen Einstellungen das Programm „IIS Crypto“ empfehlen. Es zeigt alle unterstützten Verschlüsselungsmechanismen auf und lässt sie dich per Mausklick anpassen. Nur den erforderlichen Neustart nach den Änderungen musst du selbst in die Hand nehmen.

Alternativ und bevorzugt kannst du natürlich bzw. solltest du, wie bei 3. geschrieben, einen anderen Client verwenden. Zum Beispiel:

Diese Clients haben erreicht, was FileZilla bis heute nicht schafft: Sie akzeptieren auch TLS 1.2 beim IIS.

Natürlich kannst du statt dessen auch einen alternativen FTP-Server verwenden. Hier kann ich den FileZilla Server empfehlen, den ich selbst am laufen habe.

Bist du aber im Besitz eines vollständig eigenständigen Windows ohne Virtuozzo o. ä. (Vollvirtualisiert oder auf eigener Hardware), kannst du den oben genannten Hotfix installieren und bist das Problem los.
Den Fix findest du hier.

Ich hoffe dir hier zumindest etwas geholfen und dir ein stundenlanges Suchen im Internet erspart zu haben.



Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.