Sintomas
Ao tentarem estabelecer ligação, os protocolos TLS (Transport Layer Security) podem falhar ou atingir o tempo limite. Também poderá receber um ou mais dos seguintes erros:
-
"O pedido foi cancelado: Não foi possível criar o Canal SSL/TLS seguro"
-
erro 0x8009030f
-
Erro registado no registo de Eventos de Sistema para o evento SCHANNEL 36887 com o código de alerta 20 e a descrição "Foi recebido um alerta fatal a partir do ponto final remoto. O código de alerta fatal definido pelo protocolo TLS é 20."
Causa
Devido à imposição relacionada com a segurança para CVE-2019-1318, todas as atualizações para versões suportadas do Windows disponibilizadas em 8 de outubro de 2019 ou em data posterior impõem o Extended Master Secret (EMS) para recomeço como definido pelo RFC 7627. As ligações a dispositivos terceiros e Sistemas Operativos não compatíveis podem ter problemas ou falhar.
Passos Seguintes
As ligações entre dois dispositivos com uma versão suportada do Windows não devem ter este problema quando estiverem totalmente atualizados. Não existe uma atualização para o Windows necessária para este problema. Estas alterações são necessárias para resolver um problema de segurança e conformidade de segurança.
Qualquer sistema operativo de terceiros, dispositivo ou serviço que não suporte o recomeço EMS poderá apresentar problemas relacionados com ligações TLS. Deve contactar o seu administrador, fabricante ou fornecedor de serviços para obter atualizações que suportem totalmente o recomeço EMS como definido pelo RFC 7627.
Nota A Microsoft não recomenda a desativação do EMS. Se o EMS foi explicitamente desativado anteriormente, pode ser reativado ao definir os seguintes valores da chave do Registo:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
No servidor TLS: DisableServerExtendedMasterSecret: 0 No cliente TLS: DisableClientExtendedMasterSecret: 0
Informações avançadas para administradores
1. Um dispositivo Windows que tente uma ligação Transport Layer Security (TLS) a um dispositivo que não suporte Extended Master Secret (EMS) quando os conjuntos de cifras TLS_DHE_* são negociados podem falhar intermitentemente aproximadamente 1 em 256 tentativas. Para mitigar este problema, implemente uma das seguintes soluções listadas por ordem de preferência:
-
Ative o suporte para extensões Extend Master Secret (EMS) ao efetuar ligações TLS no cliente e no sistema operativo do servidor.
-
Para sistemas operativos que não suportam EMS, remova os conjuntos de cifras TLS_DHE_* da lista de conjuntos de cifras no SO do dispositivo do cliente TLS. Para obter instruções sobre como efetuar este procedimento no Windows, consulte Priorizar Conjuntos de Cifras Schannel.
RFC 2246 (TLS 1.0) ou RFC 5246 (TLS 1.2) e resultam na falha de cada ligação. O recomeço não é garantido pelos RFCs, mas pode ser utilizado consoante os critérios do cliente e servidor TLS. Se tiver este problema, terá de contactar o fabricante ou o fornecedor de serviços para obter atualizações em conformidade com as normas RFC. 3. Os clientes ou servidores de FTP que não estejam em conformidade com RFC 2246 (TLS 1.0) e RFC 5246 (TLS 1.2) podem falhar ao transferir ficheiros no recomeço ou handshake abreviado e farão com que cada ligação falhe. Se tiver este problema, terá de contactar o fabricante ou o fornecedor de serviços para obter atualizações em conformidade com as normas RFC.
2. Os sistemas operativos que enviam apenas mensagens de pedido de certificado num handshake completo após o recomeço não estão em conformidade comAtualizações afetadas
Qualquer atualização cumulativa mais recente (LCU) ou Rollups Mensais disponibilizados em 8 de outubro de 2019 ou posteriormente para as plataformas afetadas podem ter este problema:
-
KB4517389 LCU para o Windows 10, versão 1903.
-
KB4519338 LCU para o Windows 10, versão 1809 e o Windows Server 2019.
-
KB4520008 LCU para o Windows 10, versão 1803.
-
KB4520004 LCU para o Windows 10, versão 1709.
-
KB4520010 LCU para o Windows 10, versão 1703.
-
KB4519998 LCU para o Windows 10, versão 1607 e o Windows Server 2016.
-
KB4520011 LCU para o Windows 10, versão 1507.
-
KB4520005 Rollup Mensal para o Windows 8.1 e o Windows Server 2012 R2.
-
KB4520007 Rollup Mensal para Windows Server 2012.
-
KB4519976 Rollup Mensal para Windows 7 SP1 e Windows Server 2008 R2 SP1.
-
KB4520002 Rollup Mensal para Windows Server 2008 SP2
A seguinte Atualização Apenas de Segurança disponibilizada em 8 de outubro de 2019 para as plataformas afetadas pode ter este problema:
-
KB4519990 Atualização apenas de segurança para Windows 8.1 e Windows Server 2012 R2.
-
KB4519985 Atualização apenas de segurança para Windows Server 2012 e Windows Embedded 8 Standard.
-
KB4520003 Atualização apenas de segurança para Windows 7 SP1 e Windows Server 2008 R2 SP1
-
KB4520009 Atualização apenas de segurança para Windows Server 2008 SP2