Applies ToWindows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7

現象

トランスポート層セキュリティ (TLS) の接続を試みると、失敗するかタイムアウトになることがあります。  次の 1 つ以上のエラーを受信することもあります。

  • 「要求が中止されました: SSL/TLS のセキュリティで保護されたチャネルを作成できませんでした」

  • エラー 0x8009030f

  • SCHANNEL イベント 36887 のシステム イベント ログに、アラートコード 20 と説明とともに、次のエラーが記録されました。「リモート エンドポイントから致命的な警告を受け取りました。 TLS プロトコルで定義されているこの致命的な警告のコードは 20 です。」

原因

CVE-2019-1318 に関するセキュリティ関連の実施により、2019 年 10 月 9 日以降にリリースされたサポートされているバージョンの Windows のすべての更新プログラムによって、RFC 7627 で定義されている再開用の拡張マスター シークレット (EMS) が適用されます。  非準拠のサードパーティ製のデバイスおよび OS への接続に問題が発生するか、失敗することがあります。

次の手順

完全に更新されると、サポートされているバージョンの Windows を実行している 2 つのデバイス間の接続でこの問題が発生しなくなるはずです。  この問題に必要な Windows の更新プログラムはありません。  これらの変更は、セキュリティの問題とセキュリティ コンプライアンスに対処するために必要です。

EMS の再開をサポートしないサードパーティ製のオペレーティング システム、デバイスまたはサービスで、TLS 接続に関連する問題が発生することがあります。  RFC 7627 で定義されている EMS の再開を完全にサポートする更新プログラムについては、管理者、製造元またはサービス プロバイダーに問い合わせてください。

注: マイクロソフトは、EMS を無効にすることを推奨していません。 EMS が以前に明示的に無効になっていた場合、次のレジストリ キー値を設定して再度有効にすることができます。

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

On TLS Server: DisableServerExtendedMasterSecret: 0 On TLS Client: DisableClientExtendedMasterSecret: 0

管理者向けの詳細情報

1。 TLS_DHE_* 暗号スイートをネゴシエートするときに、Extended Master Secret (EMS) をサポートしないデバイスにトランスポート層セキュリティ (TLS) の接続を試みる Windows デバイスが、256 回試行のうち約 1 回断続的に失敗することがあります。 この問題を緩和するには、次のいずれかの解決策を優先順に実装します。

  • クライアントとサーバー オペレーティング システムの両方で TLS 接続を実行するときに、Extended Master Secret (EMS) 拡張機能のサポートを有効にします。

  • EMS をサポートしていないオペレーティング システムでは、TLS クライアント デバイスの OS の暗号スイートの一覧から TLS_DHE_* 暗号スイートを削除します。 Windows でこれを行う方法については、「Schannel の暗号スイートの優先順位付け」を参照してください。

2. 再開後に完全なハンドシェイクで証明書要求メッセージのみを送信するオペレーティング システムは、 RFC 2246 (TLS 1.0) または RFC5246 (TLS 1.2) に準拠していないため、各接続が失敗します。 再開は RFC によって保証されていませんが、TLS クライアントとサーバーの判断で使用できます。  この問題が発生した場合は、製造元またはサービス プロバイダーに問い合わせて、RFC 標準に準拠した更新プログラムを入手する必要があります。3。 RFC 2246 (TLS 1.0) および RFC 5246 (TLS 1.2) に準拠していない FTP サーバーまたはクライアントが再開または省略されたハンドシェイクでファイルの転送に失敗し、各接続が失敗することがあります。 この問題が発生した場合は、製造元またはサービス プロバイダーに問い合わせて、RFC 標準に準拠した更新プログラムを入手する必要があります。

影響を受ける更新プログラム

影響を受けるプラットフォーム用に 2019 年 10 月 9 日以降にリリースされた最新の累積的な更新プログラム (LCU) またはマンスリー ロールアップで、この問題が発生することがあります。

  • KB4517389 Windows 10 Version 1903 の LCU。

  • KB4519338 Windows 10 Version 1809 および Windows Server 2019 の LCU。

  • KB4520008 Windows 10 Version 1803 の LCU。

  • KB4520004 Windows 10 Version 1709 の LCU。

  • KB4520010 Windows 10 Version 1703 の LCU。

  • KB4519998 Windows 10 Version 1607 および Windows Server 2016 の LCU。

  • KB4520011 Windows 10 Version 1507 の LCU。

  • KB4520005 Windows 8.1 および Windows Server 2012 R2 のマンスリー ロールアップ。

  • KB4520007 Windows Server 2012 のマンスリー ロールアップ。

  • KB4519976 Windows 7 SP1 および Windows Server 2008 R2 SP1 のマンスリー ロールアップ。

  • KB4520002 Windows Server 2008 SP2 のマンスリー ロールアップ

影響を受けるプラットフォーム用に 2019 年 10 月 9 日にリリースされた次のセキュリティのみの更新プログラムで、この問題が発生することがあります。

  • KB4519990 Windows 8.1 および Windows Server 2012 R2 のセキュリティのみの更新プログラム。

  • KB4519985 Windows Server 2012 および Windows Embedded 8 Standard のセキュリティのみの更新プログラム。

  • KB4520003 Windows 7 SP1 および Windows Server 2008 R2 SP1 のセキュリティのみの更新プログラム

  • KB4520009 Windows Server 2008 SP2 のセキュリティのみの更新プログラム

ヘルプを表示

その他のオプションが必要ですか?

サブスクリプションの特典の参照、トレーニング コースの閲覧、デバイスのセキュリティ保護方法などについて説明します。

コミュニティは、質問をしたり質問の答えを得たり、フィードバックを提供したり、豊富な知識を持つ専門家の意見を聞いたりするのに役立ちます。