Sintomas
Ao tentar conectar, a TLS (Transport Layer Security) pode falhar ou atingir o tempo limite. Você também pode receber um ou mais dos seguintes erros:
-
"A solicitação foi anulada: Não foi possível criar um Canal seguro de SSL/TLS"
-
erro 0x8009030f
-
Um erro foi registrado no Log de Eventos do Sistema para o evento 36887 do SCHANNEL com código de alerta 20 e a descrição, "Um alerta fatal foi recebido do ponto de extremidade remoto. O código de alerta fatal definido do protocolo TLS é 20."
Causa
Devido à imposição relacionada à segurança do CVE-2019-1318, todas as atualizações para versões compatíveis do Windows lançadas em 8 de outubro de 2019 ou posteriormente impõem o EMS (Extended Master Secret) para retomada, conforme definido pelo RFC 7627. Conexões com dispositivos e sistemas operacionais de terceiros que não estão em conformidade podem ter problemas ou falhar.
Próximas etapas
Conexões entre dois dispositivos que executarem qualquer versão compatível do Windows não deverão ter esse problema quando eles estiverem totalmente atualizados. Nenhuma atualização do Windows é necessária para esse problema. Essas alterações são necessárias para resolver um problema de segurança e de conformidade de segurança.
Qualquer sistema operacional, dispositivo ou serviço de terceiros que não dê suporte à retomada do EMS poderá apresentar problemas relacionados às conexões TLS. Você deve entrar em contato com seu administrador, o fabricante ou o provedor de serviços para obter atualizações que sejam totalmente compatíveis com a retomada do EMS, conforme definido pelo RFC 7627.
Observação A Microsoft não recomenda desabilitar o EMS. Se o EMS tiver sido desabilitado de forma explícita anteriormente, ele poderá ser reabilitado por meio da configuração dos seguintes valores de chaves do Registro:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
On TLS Server: DisableServerExtendedMasterSecret: 0 On TLS Client: DisableClientExtendedMasterSecret: 0
Informações avançadas para administradores
1. Um dispositivo Windows que tenta uma conexão TLS a um dispositivo que não oferece suporte a Extended Master Secret (EMS) quando pacotes de criptografia TLS_DHE_ * são negociados pode falhar intermitentemente aproximadamente 1 a cada 256 tentativas. Para mitigar esse problema, implemente uma das seguintes soluções listadas na ordem de sua preferência:
-
Habilite o suporte para extensões do Extended Master Secret (EMS) ao executar conexões TLS nos sistemas operacionais do cliente e do servidor.
-
Para sistemas operacionais que não são compatíveis com EMS, remova os pacotes de codificação TLS_DHE_* da lista de conjuntos de codificação no sistema operacional do dispositivo do cliente TLS. Para obter instruções sobre como fazer isso no Windows, consulte Priorizando os pacotes de codificação Schannel.
RFC 2246 (TLS 1.0) ou RFC 5246 (TLS 1.2) e farão com que cada conexão falhe. A retomada não é garantida pelos RFCs, mas pode ser usada a critério do cliente e servidor TLS. Se esse problema ocorrer, você precisará entrar em contato com o fabricante ou provedor de serviço para obter atualizações que estejam em conformidade com os padrões RFC. 3. Os servidores ou clientes FTP que não estão em conformidade com o RFC 2246 (TLS 1.0) e o RFC 5246 (TLS 1.2) podem não transferir arquivos em retomada ou de handshake abreviado, e isso fará com que cada conexão falhe. Se esse problema ocorrer, você precisará entrar em contato com o fabricante ou provedor de serviço para obter atualizações que estejam em conformidade com os padrões RFC.
2. Os sistemas operacionais que apenas enviam mensagens de solicitação de certificado em um handshake completo após a retomada não são compatíveis comAtualizações afetadas
Quaquer LUC (atualização cumulativa mais recente) ou Pacote cumulativo mensal lançado em terça-feira, 8 de outubro de 2019 ou depois para as plataformas afetadas poderá experimentar esse problema:
-
KB4517389 LCU para Windows 10, versão 1903.
-
KB4519338 LCU para Windows 10, versão 1809 e Windows Server 2019.
-
KB4520008 LCU para Windows 10, versão 1803.
-
KB4520004 LCU para Windows 10, versão 1709.
-
KB4520010 LCU para Windows 10, versão 1703.
-
KB4519998 LCU para Windows 10, versão 1607 e Windows Server 2016.
-
KB4520011 LCU para Windows 10, versão 1507.
-
KB4520005 Pacote cumulativo mensal para Windows 8.1 e Windows Server 2012 R2.
-
KB4520007 Pacote cumulativo mensal para Windows Server 2012.
-
KB4519976 Pacote cumulativo mensal para Windows 7 SP1 e Windows Server 2008 R2 SP1.
-
KB4520002 Pacote cumulativo mensal para Windows Server 2008 SP2
A seguinte atualização Apenas segurança lançada em terça-feira, 8 de outubro de 2019 para as plataformas afetadas pode enfrentar esse problema:
-
KB4519990 Atualização apenas de segurança para Windows 8.1 e Windows Server 2012 R2.
-
KB4519985 Atualização apenas de segurança para Windows Server 2012 e Windows Embedded 8 Standard.
-
KB4520003 Atualização apenas de segurança para Windows 7 SP1 e Windows Server 2008 R2 SP1
-
KB4520009 Atualização apenas de segurança para Windows Server 2008 SP2