... via FTP Client Cyberduck, It said that the connection is not secure
O servidor (nome real e certificados ocultos, mas foi mostrado mostra o que aconteceu com o servidor real) usa um certificado autoassinado que também não corresponde ao nome do host:
$ openssl s_client -starttls ftp -connect ftp.example.com:21
...
Certificate chain
0 s:/CN=server10.example.org/[email protected]
i:/CN=server10.example.org/[email protected]
Esse tipo de certificado pode ser usado para proteger uma conexão, mas somente se o cliente souber qual certificado esperar de outra maneira, como se o provedor dissesse ao cliente pessoalmente a impressão digital do certificado do servidor e o cliente verificasse a impressão digital quando conectando.
Em todos os outros casos, o uso de tais certificados é inseguro, pois qualquer pessoa pode criar um certificado desse tipo e fazer um ataque man-in-the-middle.
Status: Initializing TLS... Status: Verifying certificate... Status: TLS connection established
Parece que "Verificar certificado ..." não está realmente concluído ou o resultado foi descartado ou que você confiou neste certificado antes.
Além disso, o FTPS é inseguro, a menos que você imponha o uso de FTPS. Se você confiar no seu cliente FTP para usar criptografia (ou seja, TLS) quando disponível e continuar sem criptografia, tudo o que um funcionário do meio precisa fazer é rejeitar o comando AUTH TLS
, que é usado para criar o túnel TLS. Se, em vez disso, você aplicar o FTPS e verificar o certificado, o FTPS poderá ser usado de maneira segura.
Para mais informações, eu recomendo perguntar melhor em security.stackexchange.com.