Applies ToWindows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7

Sintomi

Durante il tentativo di connessione Transport Layer Security (TLS) potrebbe restituire errori o un timeout. Potresti inoltre ricevere uno o più dei seguenti errori:

  • "La richiesta è stata annullata: non è stato possibile creare un canale sicuro SSL/TLS"

  • Errore 0x8009030f

  • Errore registrato nel registro eventi di sistema per l'evento 36887 SCHANNEL con il codice di avviso 20 e la descrizione "Ricevuto avviso di errore irreversibile dall'endpoint remoto. Codice dell'avviso di errore irreversibile definito dal protocollo TLS: 20​".

Causa

A causa dell'applicazione correlata alla sicurezza per CVE-2019-1318, tutti gli aggiornamenti per le versioni supportate di Windows rilasciati l'8 ottobre 2019 o in data successiva applicano Extended Master Secret per la ripresa come definito dalla RFC 7627. Le connessioni a dispositivi di terze parti e a sistemi operativi non conformi potrebbero essere soggette a problemi o errori.

Passaggi successivi

Le connessioni tra due dispositivi in cui è in esecuzione una qualsiasi versione supportata di Windows non devono presentare questo problema quando vengono completamente aggiornate. Per questo problema non è necessario alcun aggiornamento per Windows. Queste modifiche sono necessarie per risolvere un problema di sicurezza e garantire la conformità alla sicurezza.

Qualsiasi sistema operativo, dispositivo o servizio di terze parti che non supporti il ripristino EMS potrebbe presentare problemi relativi alle connessioni TLS. Dovrai contattare l'amministratore, il produttore o il provider di servizi per gli aggiornamenti in grado di supportare completamente il ripristino EMS come definito dalla RFC 7627.

Nota Microsoft sconsiglia di disabilitare EMS. Se EMS è stato disabilitato in modo esplicito in precedenza, può essere riabilitato impostando i seguenti valori per la chiave del Registro di sistema:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

On TLS Server: DisableServerExtendedMasterSecret: 0 On TLS Client: DisableClientExtendedMasterSecret: 0

Informazioni avanzate per gli amministratori

1. Un dispositivo Windows che tenta una connessione TLS (Transport Layer Security) a un dispositivo che non supporta Extended Master Secret (EMS) quando i pacchetti di crittografia TLS_DHE_* vengono negoziati potrebbe restituire errori in modo intermittente 1 volta ogni 256 tentativi. Per ovviare a questo problema, implementa una delle seguenti soluzioni elencate in ordine di preferenza:

  • Abilita il supporto per le estensioni Extend Master Secret (EMS) quando esegui connessioni TLS sia nel sistema operativo client che server.

  • Per i sistemi operativi che non supportano EMS, rimuovi i pacchetti di crittografia TLS_DHE_* dall'elenco nel sistema operativo del dispositivo client TLS. Per istruzioni su come eseguire questa operazione in Windows, vedi l'argomento relativo alla priorità dei pacchetti di crittografia Schannel.

2. I sistemi operativi che inviano solo messaggi di richiesta di certificato in un handshake completo dopo il ripristino non sono conformi alla RFC 2246 (TLS 1.0) o RFC 5246 (TLS 1.2) e causeranno la mancata riuscita di ciascuna connessione. Il ripristino non è garantito dalle RFC, ma può essere usato a discrezione del client e del server TLS. Se si verifica questo problema, dovrai contattare il produttore o il provider di servizi per aggiornamenti conformi agli standard RFC.3. I server o i client FTP che non sono conformi alle RFC 2246 (TLS 1.0) e RFC 5246 (TLS 1.2) potrebbero non riuscire a trasferire i file in fase di ripristino o handshake abbreviato e causeranno la mancata riuscita di ogni connessione. Se si verifica questo problema, dovrai contattare il produttore o il provider di servizi per aggiornamenti conformi agli standard RFC.

Aggiornamenti interessati

Qualsiasi aggiornamento cumulativo più recente o gli aggiornamenti cumulativi mensili rilasciati a partire dall'8 ottobre 2019 per le piattaforme interessate potrebbero presentare questo problema:

  • Aggiornamento cumulativo più recente KB4517389 per Windows 10, versione 1903.

  • Aggiornamento cumulativo più recente KB4519338 per Windows 10, versione 1809 e Windows Server 2019.

  • Aggiornamento cumulativo più recente KB4520008 per Windows 10, versione 1803.

  • Aggiornamento cumulativo più recente KB4520004 per Windows 10, versione 1709.

  • Aggiornamento cumulativo più recente KB4520010 per Windows 10, versione 1703.

  • Aggiornamento cumulativo più recente KB4519998 per Windows 10, versione 1607 e Windows Server 2016.

  • Aggiornamento cumulativo più recente KB4520011 per Windows 10, versione 1507.

  • Aggiornamento cumulativo mensile KB4520005 per Windows 8.1 e Windows Server 2012 R2.

  • Aggiornamento cumulativo mensile KB4520007 per Windows Server 2012.

  • Aggiornamento cumulativo mensile KB4519976 per Windows 7 SP1 e Windows Server 2008 R2 SP1.

  • Aggiornamento cumulativo mensile KB4520002 per Windows Server 2008 SP2.

I seguenti aggiornamenti solo della sicurezza rilasciati in data 8 ottobre 2019 per le piattaforme interessate potrebbero presentare questo problema:

  • Aggiornamento solo della sicurezza KB4519990 per Windows 8.1 e Windows Server 2012 R2.

  • Aggiornamento solo della sicurezza KB4519985 per Windows Server 2012 e Windows Embedded 8 Standard.

  • Aggiornamento solo della sicurezza KB4520003 per Windows 7 SP1 e Windows Server 2008 R2 SP1.

  • Aggiornamento solo della sicurezza KB4520009 per Windows Server 2008 SP2.

Serve aiuto?

Vuoi altre opzioni?

Esplorare i vantaggi dell'abbonamento e i corsi di formazione, scoprire come proteggere il dispositivo e molto altro ancora.

Le community aiutano a porre e a rispondere alle domande, a fornire feedback e ad ascoltare gli esperti con approfondite conoscenze.