Požymiai
Bandant prisijungti transportavimo lygmens sauga (TLS) gali nutrūkti arba gali pasibaigti skirtasis laikas. Taip pat galite gauti pranešimą apie vieną ar daugiau iš toliau nurodytų klaidų.
-
„Užklausa nutraukta: nepavyko sukurti SSL/TLS saugaus kanalo“
-
klaida 0x8009030f
-
SCHANNEL įvykio 36887 sistemos įvykių žurnale užregistruojama klaida su įspėjamuoju kodu 20 ir aprašu „Iš nuotolinio galinio punkto gautas lemtingas įspėjimas. TLS protokolu nurodė lemtingo įspėjimo kodą 20.“
Priežastis
Dėl su sauga susijusių reikalavimų CVE-2019-1318 visi palaikomų „Windows” versijų naujinimai, išleisti 2019 m. spalio 8 d. arba vėliau, vykdo „Extended Master Secret“ (EMS) atnaujinimą, kaip apibrėžta RFC 7627. Leidžiant ryšius su trečiųjų šalių įrenginiais ir kitomis nesuderinamomis OS gali kilti problemų arba nepavykti.
Kiti veiksmai
Visiškai atnaujinus, šį ryšį tarp dviejų įrenginių, kuriuose veikia bet kuri palaikoma „Windows“ versija, turėtų pavykti atlikti be problemų. Nėra „Windows” naujinimo, reikalingo šiai problemai. Šie pakeitimai būtini norint išspręsti su sauga susijusią problemą ir atitiktį.
Bet kurioje trečiųjų šalių operacinėje sistemoje, įrenginyje ar paslaugoje, nepalaikančiuose EMS atnaujinimo, gali kilti su TLS ryšiais susijusių problemų. Turėtumėte kreiptis į administratorių, gamintoją arba paslaugų teikėją, kad gautumėte naujinimus, visiškai palaikančius EMS atnaujinimą, kaip apibrėžta RFC 7627.
Pastaba. „Microsoft“ nerekomenduoja išjungti EMS. Jei EMS buvo aiškiai išjungtas, jį galima įjungti iš naujo nustatant toliau nurodytas registro raktų reikšmes.
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
TLS serveryje: DisableServerExtendedMasterSecret: 0 TLS kliente: DisableClientExtendedMasterSecret: 0
Papildoma informacija administratoriams
1. „Windows“ įrenginys, bandantis užmegzti transportavimo lygmens saugos (TLS) ryšį įrenginyje, kuris nepalaiko „Extended Master Secret“ (EMS), kai deramasi dėl TLS_DHE_ * šifravimo paketų, gali kartais nustoti veikti – maždaug 1 iš 256 bandymų. Norėdami sušvelninti šią problemą, atlikite vieną iš toliau nurodytų sprendimų, išvardytų pageidaujama tvarka.
-
Įgalinkite „Extend Master Secret” (EMS) plėtinių palaikymą užmegzdami TLS ryšius kliento ir serverio operacinėse sistemose.
-
Operacinėse sistemose, kurios nepalaiko EMS, pašalinkite TLS_DHE_* šifravimo paketus iš šifro paketų sąrašo, esančio TLS kliento įrenginio OS. Jei reikia nurodymų, kaip tai padaryti sistemoje „Windows“, žr. „Schannel“ šifravimo paketų prioretizavimas.
RFC 2246 (TLS 1.0) arba RFC 5246 (TLS 1.2) ir nutrūks kiekvienas ryšys. RFC negarantuoja atnaujinimo, tačiau gali būti naudojami TLS kliento ir serverio nuožiūra. Jei susidūrėte su šia problema, turėsite kreiptis į gamintoją arba paslaugų teikėją, kad gautumėte naujinimus, atitinkančius RFC standartus. 3. FTP serveriams arba klientams, nesuderinamiems su RFC 2246 (TLS 1.0) ir RFC 5246 (TLS 1.2), gali nepavykti perkelti failų naujinime arba sutrumpintame patvirtinime, todėl kiekvienas ryšys bus nesėkmingas. Jei susidūrėte su šia problema, turėsite kreiptis į gamintoją arba paslaugų teikėją, kad gautumėte naujinimus, atitinkančius RFC standartus.
2. Operacinės sistemos, kurios po atnaujinimo siunčia tik sertifikato užklausos pranešimus visiškame patvirtinime, nėra suderinamos suPaveikti naujinimai
Ši problema gali kilti bet kuriame toliau nurodytame naujausiame kaupiamajame naujinime (LCU) ar mėnesio naujinimų paketuose, išleistuose paveiktoms platformoms 2019 m. spalio 8 d. ar vėliau.
-
KB4517389 LCU, skirtas „Windows 10“ 1903 versijai.
-
KB4519338 LCU, skirtas „Windows 10“ 1809 versija ir „Windows Server 2019“.
-
KB4520008 LCU, skirtas „Windows 10“ 1803 versijai.
-
KB4520004 LCU, skirtas „Windows 10“ 1709 versijai.
-
KB4520010 LCU, skirtas „Windows 10“ 1703 versijai.
-
KB4519998 LCU, skirtas „Windows 10“ 1607 versija ir „Windows Server 2016“.
-
KB4520011 LCU, skirtas „Windows 10“ 1507 versijai.
-
KB4520005 Mėnesio naujinimų paketas, skirtas „Windows 8.1“ ir „Windows Server 2012 R2“.
-
KB4520007 Mėnesio naujinimų paketas „Windows Server 2012“.
-
KB4519976 Mėnesio naujinimų paketas, skirtas „Windows 7 SP1“ ir „Windows Server 2008 R2 SP1“.
-
KB4520002 Mėnesio naujinimų paketas „Windows Server 2008 SP2“.
Ši problema gali kilti toliau nurodytuose tik saugos naujinimuose, išleistuose paveiktoms platformoms 2019 m. spalio 8 d.
-
KB4519990 Tik saugos naujinimas, skirtas „Windows 8.1“ ir „Windows Server 2012 R2“.
-
KB4519985 Tik saugos naujinimas, skirtas „Windows Server 2012“ ir „Windows Embedded 8 Standard“.
-
KB4520003 Tik saugos naujinimas, skirtas „Windows 7 SP1“ ir „Windows Server 2008 R2 SP1“.
-
KB4520009 Tik saugos naujinimas, skirtas „Windows Server 2008 SP2“