Question

我尝试连接到仅支持TLS 1.2的FTP服务器使用Python 3.4.1

我的代码：

import ftplib
import ssl
ftps = ftplib.FTP_TLS()

ftps.ssl_version = ssl.PROTOCOL_TLSv1_2
print (ftps.connect('108.61.166.122',31000))
print(ftps.login('test','test123'))
ftps.prot_p()
print (ftps.retrlines('LIST'))

客户端出错：

ssl.SSLEOFError: EOF occurred in violation of protocol (_ssl.c:598)

服务器端出错：

  Failed TLS negotiation on control channel, disconnected. (SSL_accept(): 
  error:140760FC:SSL routines:SSL23_GET_CLIENT_HELLO:unknown protocol)

示例中的凭据正在进行测试。

Answer 1

请参阅本文末尾的最终解决方案。其余的是调试问题所需的步骤。

我尝试连接到仅支持TLS 1.2使用Python 3.4.1的FTP服务器

你怎么知道？

ssl.SSLEOFError：违反协议发生EOF（_ssl.c：598）

我会建议客户端和服务器之间的许多SSL问题之一，比如服务器不支持TLS 1.2，没有常见的密码等。这些问题很难调试，因为你只得到一些SSL警报或者服务器只是关闭连接没有任何明显的原因。如果您有权访问服务器，请在服务器端查找错误消息。

您也可以尝试不强制执行SSL版本，而是使用默认版本，以便客户端和服务器同意支持最佳SSL版本。如果这仍然无效，请尝试使用已知可与此服务器配合使用的客户端，并对数据包捕获好的和坏的连接并进行比较。如果您需要有关该帖子的帮助，请将数据包捕获到cloudshark.org。

编辑＃1：刚刚使用python 3.4.0和3.4.2对测试服务器进行了尝试：

python 3.4.0进行TLS 1.0握手，即忽略设置
python 3.4.2成功完成TLS 1.2握手

在两个版本中，ftplib都有小错误，如果AUTH SSL是其他东西，那么它会发送AUTH TLS而不是ftps.ssl_version，而不是TLS 1.0，即SSLv3或TLS1.1。+。虽然我怀疑这是问题的根源，但实际上，如果FTP服务器以不同的方式处理AUTH TLS和AUTH SSL。

编辑＃2和解决方案：

数据包捕获显示设置ftps.ssl_version无效，SSL握手仍将仅使用TLS 1.0完成。查看3.4.0中ftplib的源代码给出了：

    ssl_version = ssl.PROTOCOL_TLSv1

    def __init__(self, host='', user='', passwd='', acct='', keyfile=None,
                 certfile=None, context=None,
                 timeout=_GLOBAL_DEFAULT_TIMEOUT, source_address=None):
        ....
        if context is None:
            context = ssl._create_stdlib_context(self.ssl_version,
                                                 certfile=certfile,
                                                 keyfile=keyfile)
        self.context = context

由于在调用__init__时调用ftplib.FTP_TLS()，因此将使用ftplib（ssl_version）使用的默认ssl.PROTOCOL_TLSv1创建SSL上下文，而不是使用您自己的版本。要强制执行其他SSL版本，您必须使用所需的SSL版本提供自己的上下文。以下适用于我：

import ftplib
import ssl

ctx = ssl._create_stdlib_context(ssl.PROTOCOL_TLSv1_2)
ftps = ftplib.FTP_TLS(context=ctx)

print (ftps.connect('108.61.166.122',31000))
print(ftps.login('test','test123'))
ftps.prot_p()
print (ftps.retrlines('LIST'))

或者，您可以全局设置协议版本，而不是仅为此FTP_TLS对象设置：

ftplib.FTP_TLS.ssl_version = ssl.PROTOCOL_TLSv1_2
ftps = ftplib.FTP_TLS()

只是一个小但重要的观察：看起来ftplib 没有进行任何类型的证书验证，因为它接受这个自签名证书，该证书与该名称不匹配而没有抱怨。这使得一个活跃的中间人攻击成为可能。希望他们将来能解决这种不安全行为，在这种情况下，由于证书无效，此处的代码将失败。

Answer 2

首先，AFAIK没有ftp直接支持SSL，为此引入了ftps。另外sftp和ftps是两个不同的概念：http://en.wikipedia.org/wiki/FTPS。现在，您的问题与编程无关，与SSL或FTP或任何此类客户端 - 服务器通信无关

import ftplib
import ssl
ftps = ftplib.FTP_TLS()

#ftps.ssl_version = ssl.PROTOCOL_TLSv1_2
print (ftps.connect('108.61.166.122',31000))
print(ftps.login('test','test123'))
ftps.prot_p()
print (ftps.retrlines('LIST'))

因为ftplib没有属性PROTOCOL_TLSv1_2，除此之外它工作正常。好吧，你的主人没有回应！

希望它有所帮助！

使用ftplib连接到FTP TLS 1.2服务器

2 个答案: