Zowel SFTP als FTPS versleutelen je FTP-overdrachten. Beide hebben een "S" in de naam. Ze worden vaak door elkaar gehaald — en die verwarring is niet zonder gevolgen, want het zijn volstrekt verschillende technologieën die op een heel andere manier werken.
Het verkeerde protocol kiezen bij het instellen van een verbinding leidt tot een mislukte verbinding. Het juiste kiezen vereist dat je begrijpt wat elk protocol werkelijk is. Hier volgt de heldere uitleg.
FTP: het vertrekpunt
Voordat we naar de beveiligde varianten gaan, helpt het om gewoon FTP te begrijpen. Het File Transfer Protocol is ontwikkeld in de vroege jaren zeventig — lang voordat het internet er zo uitzag als nu. Er is geen enkele vorm van versleuteling. Inloggegevens (gebruikersnaam en wachtwoord) reizen als leesbare tekst over het netwerk. De inhoud van je bestanden ook.
FTP wordt nog volop gebruikt op interne netwerken waar verkeer een vertrouwde omgeving nooit verlaat, in oudere hostingopstellingen, of in gecontroleerde situaties waar versleuteling geen punt is. Het is eenvoudig, het werkt, en vrijwel elke server ondersteunt het. Maar over het openbare internet inloggegevens als leesbare tekst versturen is iets wat je niet wilt doen.
Dat is waar de twee beveiligde varianten in beeld komen — en waar de verwarring begint.
SFTP (SSH File Transfer Protocol)
Ondanks de naam is SFTP geen FTP met beveiliging erbovenop. Het is een volledig ander protocol, onafhankelijk ontwikkeld als onderdeel van het SSH-protocol (Secure Shell).
SFTP draait via SSH op poort 22. Alles — authenticatie, opdrachten, bestandsinhoud — wordt versleuteld door de SSH-laag. Een SFTP-client en een gewone FTP-client spreken fundamenteel verschillende protocollen, ook al ziet het eindresultaat (bestanden overzetten) er voor de gebruiker hetzelfde uit.
Belangrijkste kenmerken van SFTP:
- Draait via SSH. Als een server SSH heeft ingeschakeld, is SFTP vrijwel zeker ook beschikbaar — geen aparte installatie nodig.
- Één poort (22). Alle communicatie verloopt via één poort, wat firewallconfiguratie eenvoudig maakt.
- Sleutelgebaseerde authenticatie. In plaats van een wachtwoord kun je inloggen met een SSH-sleutelpaar. De privésleutel verlaat je machine nooit; de server slaat alleen de openbare sleutel op. Dit is aanzienlijk veiliger dan wachtwoordauthenticatie.
- End-to-end versleuteld. Inloggegevens en bestandsinhoud zijn altijd versleuteld, ongeacht het netwerk waarop je je bevindt.
- Geen TLS-certificaat nodig. Authenticatie verloopt via SSH-sleutels of wachtwoorden over SSH — geen certificaatautoriteit, geen certificaatverlenging.
FTPS (FTP over TLS)
FTPS is gewoon FTP met TLS-versleuteling erbovenop. Een andere aanpak: het bestaande FTP-protocol nemen en de verbinding wikkelen in TLS, dezelfde versleutelingslaag die HTTPS gebruikt.
Er zijn twee modi van FTPS:
Expliciete FTPS (FTPES)
De client maakt verbinding met de server op poort 21 (de standaard FTP-poort) en stuurt direct een AUTH TLS-opdracht om de verbinding te upgraden naar versleuteld. De server moet deze opdracht ondersteunen. Deze modus heet "expliciet" omdat de client uitdrukkelijk om de TLS-upgrade vraagt.
Impliciete FTPS
De client maakt verbinding op poort 990 en de TLS-handshake vindt meteen plaats — voordat er ook maar één FTP-bericht wordt uitgewisseld. Er is geen onversleutelde fase. Deze modus is minder gangbaar maar wordt op sommige servers nog gebruikt.
Belangrijkste kenmerken van FTPS:
- Gebaseerd op FTP. Zelfde opdrachtenset, zelfde overwegingen voor passieve/actieve modus, zelfde meerpoortsgedrag bij gegevensoverdrachten.
- Vereist een TLS-certificaat. De server heeft een geldig SSL/TLS-certificaat nodig dat periodiek vernieuwd moet worden.
- Firewallcomplexiteit. FTP in passieve modus opent een reeks dynamische datapoorten. Firewalls moeten FTP begrijpen om deze verbindingen correct te inspecteren. Met TLS-versleuteling kan de firewall het FTP-verkeer niet inspecteren, wat de passieve modus kan bemoeilijken.
- Alleen wachtwoordgebaseerd. FTPS ondersteunt geen sleutelgebaseerde authenticatie — je logt in met gebruikersnaam en wachtwoord (die wel door TLS worden versleuteld).
- Brede compatibiliteit. Veel bedrijfs- en hostingomgevingen bieden FTPS omdat het een directe upgradeweg is vanuit een bestaande FTP-opstelling.
Vergelijking op een rij
| Kenmerk | FTP | SFTP | FTPS |
|---|---|---|---|
| Gebaseerd op | FTP | SSH | FTP + TLS |
| Standaardpoort | 21 | 22 | 21 (expliciet) / 990 (impliciet) |
| Versleuteling | Geen | Altijd (SSH) | Ja (TLS) |
| Sleutelauth. | Nee | Ja | Nee |
| Certificaat nodig | Nee | Nee | Ja |
| Firewallvriendelijk | Complex | Eenvoudig (1 poort) | Complex |
| Serverbeschikbaarheid | Universeel | Elke SSH-server | Vereist installatie |
Welk protocol gebruik je?
Gebruik SFTP als: je de server beheert (of het een Linux/Unix-server met SSH is), beveiliging prioriteit heeft, en je een eenvoudige firewallconfiguratie wilt. SFTP is de moderne standaard. Als er geen bijzondere reden is om iets anders te gebruiken, is SFTP de juiste keuze.
Gebruik FTPS als: je hostingprovider of de server van een klant dat vereist, of als je versleuteling toevoegt aan een bestaande FTP-opstelling zonder de infrastructuur te kunnen wijzigen. Veel bedrijfsomgevingen die al jaren FTP-servers draaien, kiezen FTPS als upgradepad omdat er minder aan de bestaande opzet hoeft te veranderen.
Gebruik gewoon FTP als: je op een vertrouwd intern netwerk zit waar versleuteling niet nodig is, of als je te maken hebt met een oud systeem dat geen van de beveiligde varianten ondersteunt. Vermijd het volledig voor alles wat over het openbare internet gaat.
FTPSuite ondersteunt alle drie
FTPull (voor automatische downloads) en FTPush (voor automatische uploads) ondersteunen allebei FTP, SFTP en FTPS van nature. Het protocol kiezen in de verbindingsinstellingen kost één klik — de app handelt de onderliggende verschillen automatisch af. Voer de host, poort, inloggegevens en het protocol in; de rest wordt voor je geregeld.
Weet je niet zeker welk protocol jouw server gebruikt? Lees dan onze gids: FTP, SFTP of FTPS: welk protocol gebruikt jouw server?