Applies ToWindows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7

Symptomer

Når du prøver å koble til, kan det hende at TLS (Transport Layer Security) mislykkes eller blir tidsavbrutt. Du kan også få en eller flere av følgende feilmeldinger:

  • «Forespørselen ble avbrutt: Kan ikke opprette en sikker SSL/TLS-kanal»

  • feil 0x8009030f

  • En feil logget i systemhendelsesloggen for SCHANNEL-hendelse 36887 med varselkode 20 og beskrivelsen «Et kritisk varsel ble mottatt fra det eksterne endepunktet. Den kritiske varselkoden for TLS-protokollen er 20.​»

Årsak

På grunn av sikkerhetsrelatert håndhevelse for CVE-2019-1318, vil alle oppdateringer for støttede versjoner av Windows utgitt 8. oktober 2019 eller senere håndheve EMS (Extended Master Secret) for gjenopptakelse, slik det er definert av RFC 7627.  Tilkoblinger til enheter fra tredjeparter og OSes som ikke er kompatible, kan ha problemer eller mislykkes.

Neste trinn

Tilkoblinger mellom to enheter som kjører en støttet versjon av Windows, skal ikke ha dette problemet ved fullstendig oppdatering.  Det finnes ingen oppdatering for Windows som trengs for dette problemet.  Disse endringene er nødvendige for å løse et sikkerhetsproblem og sikkerhetssamsvar.

Et operativsystem, en enhet eller en tjeneste fra tredjepart som ikke støtter EMS-gjenopptakelse, kan medføre problemer knyttet til TLS-tilkoblinger.  Du bør kontakte administratoren, produsenten eller tjenesteleverandøren for å få oppdateringer som støtter EMS-gjenopptakelse, slik det er definert av RFC 7627.

Obs!  Microsoft anbefaler ikke å deaktivere EMS. Hvis EMS tidligere var eksplisitt deaktivert, kan det aktiveres på nytt ved å angi følgende registernøkkelverdier:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

På TLS-server: DisableServerExtendedMasterSecret: 0 På TLS-klient: DisableClientExtendedMasterSecret: 0

Avansert informasjon for administratorer

1. En Windows-enhet som prøver å bruke en TLS-tilkobling (Transport Layer Security) på en enhet som ikke støtter EMS (Extended Master Secret) når TLS_DHE_*-chiffreringssamlinger forhandles, kan midlertidig mislykkes i omtrent 1 av 256 forsøk. Hvis du vil løse dette problemet, kan du implementere en av følgende løsninger i foretrukket rekkefølge:

  • Aktiver støtte for EMS-utvidelser (Extend Master Secret) når du utfører TLS-tilkoblinger på både klienten og operativsystemet på serveren.

  • For operativsystemer som ikke støtter EMS, fjerner du TLS_DHE_*-chiffreringssamlinger fra listen over chiffreringssamling i operativsystemets TLS-klientsertifikat. Hvis du vil ha informasjon om hvordan du gjør dette i Windows, kan du se Prioritere chiffreringssamlinger for sikker kanal.

2. Operativsystemer som bare sender sertifikatforespørselsmeldinger i et fullstendig håndtrykk etter gjenopptakelse, er ikke RFC 2246 (TLS 1.0) eller RFC 5246 (TLS 1.2), og vil føre til at hver tilkobling mislykkes. Gjenopptakelse garanteres ikke av RFC-ene, men kan brukes til å påvirke TLS-klienten og -serveren.  Hvis du støter på dette problemet, må du kontakte produsenten eller tjenesteleverandøren for å få oppdateringer som samsvarer med RFC-standarder.3. FTP-servere eller -klienter som ikke er i samsvar med RFC 2246 (TLS 1.0) og RFC 5246 (TLS 1.2), kan ikke overføre filer ved gjenopptakelse eller forkortet håndtrykk og vil føre til at hver tilkobling mislykkes. Hvis du støter på dette problemet, må du kontakte produsenten eller tjenesteleverandøren for å få oppdateringer som samsvarer med RFC-standarder.

Berørte oppdateringer

Alle kumulative oppdateringer (LCU) eller månedlige samleoppdateringer som ble utgitt 8. oktober 2019 eller senere for de berørte plattformene, kan få dette problemet:

  • KB4517389 LCU for Windows 10, versjon 1903.

  • KB4519338 LCU for Windows 10, versjon 1809 og Windows Server 2019.

  • KB4520008 LCU for Windows 10, versjon 1803.

  • KB4520004 LCU for Windows 10, versjon 1709.

  • KB4520010 LCU for Windows 10, versjon 1703.

  • KB4519998 LCU for Windows 10, versjon 1607 og Windows Server 2016.

  • KB4520011 LCU for Windows 10, versjon 1507.

  • KB4520005 Månedlig oppdatering for Windows 8.1 og Windows Server 2012 R2.

  • KB4520007 Månedlig samleoppdatering for Windows Server 2012.

  • KB4519976 Månedlig oppdatering for Windows 7 SP1 og Windows Server 2008 R2 SP1.

  • KB4520002 Månedlig samleoppdatering for Windows Server 2008 SP2

Følgende rene sikkerhetsoppdatering som ble utgitt 8. oktober 2019 for de berørte plattformene, kan få dette problemet:

  • KB4519990 Ren sikkerhetsoppdatering for Windows 8.1 og Windows Server 2012 R2.

  • KB4519985 Ren sikkerhetsoppdatering for Windows Server 2012 og Windows Embedded 8 Standard.

  • KB4520003 Ren sikkerhetsoppdatering for Windows 7 SP1 og Windows Server 2008 R2 SP1

  • KB4520009 Ren sikkerhetsoppdatering for Windows Server 2008 SP2

Trenger du mer hjelp?

Vil du ha flere alternativer?

Utforsk abonnementsfordeler, bla gjennom opplæringskurs, finn ut hvordan du sikrer enheten og mer.

Fellesskap hjelper deg med å stille og svare på spørsmål, gi tilbakemelding og høre fra eksperter med stor kunnskap.