Objawy
Próba nawiązywania połączenia w ramach protokółu TLS (Transport Layer Security) może kończyć się niepowodzeniem lub może nastąpić przekroczenie limitu czasu. Może również zostać wyświetlony co najmniej jeden z następujących błędów:
-
„The request was aborted: Could not create SSL/TLS secure Channel”
-
error 0x8009030f
-
Błąd zarejestrowany w dzienniku zdarzeń systemu dla zdarzenia SCHANNEL 36887 z kodem alertu 20 i opisem: „Odebrano alert krytyczny ze zdalnego punktu końcowego. Kod alertu krytycznego zdefiniowany przez protokół TLS to 20”.
Przyczyna
Z powodu wymuszenia zabezpieczeń związanego z luką CVE-2019-1318 wszystkie aktualizacje obsługiwanych wersji systemu Windows wydane 8 października 2019 r. i nowsze wymuszają użycie rozszerzonego głównego klucza tajnego (EMS) podczas wznawiania połączenia zgodnie z definicją w dokumencie RFC 7627. Połączenia z urządzeniami innych firm i niezgodnymi systemami operacyjnymi mogą się nie powieść lub mogą w ich przypadku występować problemy.
Następne kroki
Problem nie powinien dotyczyć połączeń między dwoma w pełni zaktualizowanymi urządzeniami z którąkolwiek z obsługiwanych wersji systemu Windows. Ten problem nie wymaga aktualizacji systemu Windows. Te zmiany są wymagane w celu usunięcia problemu bezpieczeństwa i na potrzeby zapewnienia zgodności z zabezpieczeniami.
Wszystkie systemy operacyjne, urządzenia lub usługi innych firm, które nie obsługują wznawiania EMS, mogą wykazywać problemy z połączeniami TLS. Należy skontaktować się z administratorem, producentem lub dostawcą usług, aby uzyskać aktualizacje w pełni obsługujące wznawianie EMS zgodnie z definicją w dokumencie RFC 7627.
Uwaga Firma Microsoft nie zaleca wyłączania usług EMS. Jeśli usługi EMS zostały wcześniej jawnie wyłączone, można je ponownie włączyć, ustawiając następujące wartości kluczy rejestru:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
Na serwerze TLS: DisableServerExtendedMasterSecret: 0 Na kliencie TLS: DisableClientExtendedMasterSecret: 0
Zaawansowane informacje dla administratorów
1. Nawiązanie połączenia przez urządzenie z systemem Windows w ramach protokołu TLS (Transport Layer Security) z urządzeniem nieobsługującym rozszerzonego głównego klucza tajnego (EMS), kiedy pakiety szyfrowania TLS_DHE_* są negocjowane, może sporadycznie się nie powieść (około 1 raz na 256 prób). Aby ograniczyć ten problem, zastosuj jedno z wymienionych rozwiązań w dowolnej kolejności:
-
Włącz obsługę rozszerzonego głównego klucza tajnego (EMS) podczas wykonywania połączeń TLS zarówno na kliencie, jak i w systemie operacyjnym serwera.
-
W przypadku systemów operacyjnych, które nie obsługują usług EMS, usuń pakiety szyfrowania TLS_DHE_* z listy pakietów szyfrowania w systemie operacyjnym urządzenia klienckiego TLS. Aby uzyskać instrukcje, jak to zrobić w systemie Windows, zobacz Ustawianie priorytetów mechanizmów szyfrowania Schannel.
RFC 2246 (TLS 1.0) ani RFC 5246 (TLS 1.2). W ich przypadku każda próba nawiązania połączenia skończy się niepowodzeniem. Wznowienie nie jest gwarantowane przez standardy RFC, ale taka próba może zostać podjęta przez serwer i klienta TLS. Jeśli ten problem wystąpi, należy skontaktować się z producentem lub dostawcą usług w celu uzyskania aktualizacji zgodnych ze standardami RFC. 3. Serwery FTP lub urządzenia klienckie niezgodne ze standardem RFC 2246 (TLS 1.0) i RFC 5246 (TLS 1.2) mogą nie przetransferować plików po wznowieniu lub skróconym uzgadnianiu, a każde z połączeń zakończy się niepowodzeniem. Jeśli ten problem wystąpi, należy skontaktować się z producentem lub dostawcą usług w celu uzyskania aktualizacji zgodnych ze standardami RFC.
2. Systemy operacyjne, które wysyłają komunikaty żądań certyfikatów jedynie w ramach operacji pełnego uzgadniania po wznowieniu, nie są zgodne ze standardemAktualizacje, których dotyczy problem
Ten problem może występować na platformach, których dotyczy problem, w każdej najnowszej aktualizacji zbiorczej (LCU) i miesięcznym pakiecie zbiorczym aktualizacji wydanych 8 października 2019 r. lub później:
-
KB4517389 — LCU dla systemu Windows 10, wersja 1903.
-
KB4519338 — LCU dla systemów Windows 10, wersja 1809 i Windows Server 2019.
-
KB4520008 — LCU dla systemu Windows 10, wersja 1803.
-
KB4520004 — LCU dla systemu Windows 10, wersja 1709.
-
KB4520010 — LCU dla systemu Windows 10, wersja 1703.
-
KB4519998 — LCU dla systemów Windows 10, wersja 1607 i Windows Server 2016.
-
KB4520011 — LCU dla systemu Windows 10, wersja 1507.
-
KB4520005 — miesięczny pakiet zbiorczy aktualizacji dla systemów Windows 8.1 i Windows Server 2012 R2.
-
KB4520007 — miesięczny pakiet zbiorczy aktualizacji dla systemów Windows Server 2012.
-
KB4519976 — miesięczny pakiet zbiorczy aktualizacji dla systemów Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1.
-
KB4520002 — miesięczny pakiet zbiorczy aktualizacji dla systemów Windows Server 2008 z dodatkiem SP2.
Ten problem może występować w następującej aktualizacji samych zabezpieczeń wydanej 8 października 2019 r. na platformach, których dotyczy problem:
-
KB4519990 — aktualizacja samych zabezpieczeń dla systemów Windows 8.1 i Windows Server 2012 R2.
-
KB4519985 — aktualizacja samych zabezpieczeń dla systemów Windows Server 2012 i Windows Embedded 8 Standard.
-
KB4520003 — aktualizacja samych zabezpieczeń dla systemów Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1
-
KB4520009 — aktualizacja samych zabezpieczeń dla systemów Windows Server 2008 z dodatkiem SP2