Applies ToWindows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7

Simptomi

Prilikom pokušaja povezivanja, veza s protokolom Transport Layer Security (TLS) može se povremeno prekinuti ili se može prekoračiti vrijeme povezivanja. Možete primiti jednu ili više sljedećih pogrešaka:

  • „Zahtjev je otkazan: nije moguće stvoriti SSL/TLS Secure Channel”

  • pogreška 0x8009030f

  • Pogreška zabilježena u zapisniku događaja sustava za događaj SCHANNEL 36887 sa šifrom upozorenja 20 i opisom "Došlo je do kritičnog upozorenja iz udaljene krajnje točke. Protokolom TLS definirana šifra kritičnog upozorenja je 20.​”

Uzrok

Zbog povećanja sigurnosti za CVE-2019-1318, sva ažuriranja za podržane verzije sustava Windows objavljena 8. listopada 2019. ili kasnije uvode proširenje Extended Master Secret (EMS) za ponovnu podršku na način definiran zahtjevom RFC 7627.  Veze s nekompatibilnim uređajima i operacijskim sustavima trećih strana vjerojatno će imati problema ili neće uspjeti.

Sljedeći koraci

Veze između dva uređaja na kojima je pokrenuta bilo koja podržana verzija sustava Windows ne bi trebale imati taj problem nakon cjelovitog ažuriranja. Nema ažuriranja za sustav Windows potrebnog za taj problem. Ove su promjene potrebne radi rješavanja sigurnosnog problema i usklađenosti sigurnosnih zahtjeva.

Bilo koji operacijski sustav treće strane, uređaj ili usluga koji ne podržavaju ponovnu podršku za EMS može pokazati probleme povezane s TLS vezama. Obratite se administratoru, proizvođaču ili davatelju usluga radi ažuriranja koja u potpunosti podržavaju ponovnu podršku za EMS kao što je definirano zahtjevom RFC 7627.

Napomena Microsoft ne preporučuje onemogućavanje EMS-a. Ako je EMS bio prethodno onemogućen, može se ponovno omogućiti postavljanjem sljedećih vrijednosti ključa registra:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

Na TLS poslužitelju: DisableServerExtendedMasterSecret: 0 Na TLS klijentu: DisableClientExtendedMasterSecret: 0

Dodatne informacije za administratore

1. Pokušaj uspostave veze uređaja sa sustavom Windows putem protokola Transport Layer Security (1) s uređajem koji ne podržava proširenje Extended Master Secret (EMS) kada su dogovoreni kompleti šifri TLS_DHE može biti neuspješan približno 1 put u 256 pokušaja. Da biste ublažili taj problem, Implementirajte jedno od sljedećih rješenja navedenih prema redu prioriteta:

  • Omogućite podršku za proširenja Extend Master Secret (EMS) prilikom povezivanja TLS vezom na operacijskim sustavima i klijenta i poslužitelja.

2. Operacijski sustavi koji samo šalju poruke zahtjeva za certifikat u punom procesu rukovanja nakon nastavka nisu kompatibilni s RFC 2246 (TLS 1.0) ili RFC 5246 (TLS 1.2), zbog čega nijedna veza neće uspjeti. RFC-ovi ne garantiraju ponovno pokretanje procesa, ali se ono može koristiti prema zahtjevu TLS klijenta i servera. Ako naiđete na taj problem, morat ćete se obratiti proizvođaču ili davatelju usluga radi ažuriranja koja su u skladu sa standardima RFC-a.3. Na FTP poslužiteljima ili klijentima koji nisu usklađeni sa zahtjevima RFC 2246 (TLS 1.0) i RFC 5246 (TLS 1.2) može doći do toga da ne uspije prijenos datoteka pri ponovnom pokretanju ili skraćenom rukovanju i neće uspjeti nijedna veza. Ako naiđete na taj problem, morat ćete se obratiti proizvođaču ili davatelju usluga radi ažuriranja koja su u skladu sa standardima RFC-a.

Zahvaćena ažuriranja

Bilo koje najnovije kumulativno ažuriranje (LCU) ili mjesečna skupna ažuriranja objavljena 8. listopada 2019. ili kasnije za zahvaćene platforme osjetit će navedeni problem:

  • KB4517389 LCU za sustav Windows 10, verzija 1903.

  • KB4519338 LCU za sustav Windows 10, verzija 1809 i Windows Server 2019.

  • KB4520008 LCU za sustav Windows 10, verzija 1803.

  • KB4520004 LCU za sustav Windows 10, verzija 1709.

  • KB4520010 LCU za sustav Windows 10, verzija 1703.

  • KB4519998 LCU za sustav Windows 10, verzija 1607 i Windows Server 2016.

  • KB4520011 LCU za sustav Windows 10, verzija 1507.

  • KB4520005 Mjesečno skupno ažuriranje za sustav Windows 8.1 i Windows Server 2012 R2.

  • KB4520007 Mjesečno skupno ažuriranje za Windows Server 2012.

  • KB4519976 Mjesečno skupno ažuriranje za sustav Windows 7 SP1 i Windows Server 2008 R2 SP1.

  • KB4520002 Mjesečno skupno ažuriranje za Windows Server 2008 SP2

Sljedeća ažuriranja samo za sigurnost objavljena 8. listopada 2019. za zahvaćene platforme osjetit će navedeni problem:

  • KB4519990 Ažuriranje samo za sigurnost za sustav Windows 8.1 i Windows Server 2012 R2.

  • KB4519985 Ažuriranje samo za sigurnost za Windows Server 2012 i Windows Embedded 8 Standard.

  • KB4520003 Ažuriranje samo za sigurnost za sustav Windows 7 SP1 i Windows Server 2008 R2 SP1

  • KB4520009 Ažuriranje samo za sigurnost za Windows Server 2008 SP2

Potrebna vam je dodatna pomoć?

Želite dodatne mogućnosti?

Istražite pogodnosti pretplate, pregledajte tečajeve za obuku, saznajte kako zaštititi uređaj i još mnogo toga.

Zajednice vam pomažu da postavljate pitanja i odgovarate na njih, pošaljete povratne informacije i čujete se sa stručnjacima s bogatim znanjem.