Applies ToWindows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7

Simptome

În momentul când încercați să vă conectați, protocolul TLS (Transport Layer Security) poate să nu reușească sau să expire. De asemenea, este posibil să primiți una sau mai multe dintre următoarele erori:

  • „Solicitarea a fost abandonată: nu s-a putut crea canalul securizat SSL/TLS”

  • eroare 0x8009030f

  • O eroare înregistrată în jurnalul de evenimente de sistem pentru evenimentul 36887 SCHANNEL cu codul de avertizare 20 și descrierea „S-a primit o avertizare fatală de la punctul final de la distanță. Codul avertizării fatale definit de protocolul TLS este 20.​”

Cauza

Din cauza impunerii de securitate pentru CVE-2019-1318, toate actualizările pentru versiunile de Windows acceptate lansate la 8 octombrie 2019 sau mai târziu impun Extended Master Secret (EMS) pentru reluarea definită de RFC 7627. Conexiunile la dispozitivele terțe și la sistemele de operare care nu sunt conforme pot avea erori sau pot să nu reușească.

Următorii pași

Conexiunile între două dispozitive care rulează orice versiune de Windows acceptată nu ar trebui să aibă această problemă atunci când sunt actualizate complet. Nu există necesară nicio actualizare pentru Windows pentru această problemă. Aceste modificări sunt necesare pentru a răspunde la o problemă de securitate și pentru conformitatea securității.

Orice sistem de operare, dispozitiv sau serviciu de la terți care nu acceptă reluarea EMS poate avea probleme cu conexiunile TLS. Ar trebui să contactați administratorul, producătorul sau furnizorul de servicii pentru actualizări care acceptă pe deplin reluarea EMS, așa cum este definită de RFC 7627.

Notă Microsoft nu recomandă dezactivarea EMS. Dacă EMS a fost dezactivat anterior în mod explicit, acesta poate fi reactivat setând următoarele valori de cheie de registry:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

Pe serverul TLS: DisableServerExtendedMasterSecret: 0 Pe clientul TLS: DisableClientExtendedMasterSecret: 0

Informații avansate pentru administratori

1. Un dispozitiv Windows care încearcă o conexiune de protocol TLS la un dispozitiv care nu acceptă Extended Master Secret (EMS) atunci când sunt negociate suitele de cifru TLS_DHE_* poate să nu reușească intermitent, la aproximativ 1 încercare din 256 de încercări. Pentru a atenua această problemă, implementați una dintre următoarele soluții listate în ordinea preferințelor:

  • Activați suportul pentru extensiile Extend Master Secret (EMS) atunci când efectuați conexiuni TLS atât pentru client, cât și pentru sistemul de operare pentru servere.

  • Pentru sistemele de operare care nu acceptă EMS, eliminați suitele de cifru TLS_DHE_* din lista de suite de cifru în sistemul de operare al dispozitivului client TLS. Pentru instrucțiuni despre cum să faceți acest lucru în Windows, consultați Stabilirea priorităților pentru suitele de cifru Schannel.

2. Sistemele de operare care trimit doar mesaje de solicitare a certificatului într-un dialog de confirmare complet după reluarea nu sunt compatibile cu RFC 2246 (TLS 1.0) sau RFC 5246 (TLS 1.2) și vor face ca fiecare conexiune să nu reușească. Reluarea nu este garantată de RFCs, dar poate fi utilizată la discreția clientului și serverului TLS. Dacă întâmpinați această problemă, va trebui să contactați producătorul sau furnizorul de servicii pentru actualizări care respectă standardele RFC.3. Serverele FTP sau clienții fără conformitate cu RFC 2246 (TLS 1.0) și RFC 5246 (TLS 1.2) pot să nu reușească să transfere fișiere la reluare sau la dialogul de confirmare abreviat și vor cauza ca fiecare conexiune să nu reușească. Dacă întâmpinați această problemă, va trebui să contactați producătorul sau furnizorul de servicii pentru actualizări care respectă standardele RFC.

Actualizări afectate

Toate actualizările cumulative cele mai recente (LCU) sau seturile lunare lansate pe 8 octombrie 2019 sau mai târziu pentru platformele afectate se pot confrunta cu această problemă:

  • KB4517389 LCU pentru Windows 10, versiunea 1903.

  • KB4519338 LCU pentru Windows 10, versiunea 1809 și Windows Server 2019.

  • KB4520008 LCU pentru Windows 10, versiunea 1803.

  • KB4520004 LCU pentru Windows 10, versiunea 1709.

  • KB4520010 LCU pentru Windows 10, versiunea 1703.

  • KB4519998 LCU pentru Windows 10, versiunea 1607 și Windows Server 2016.

  • KB4520011 LCU pentru Windows 10, versiunea 1507.

  • KB4520005 Setul lunar pentru Windows 8.1 și Windows Server 2012 R2.

  • KB4520007 Setul lunar pentru Windows Server 2012.

  • KB4519976 Setul lunar pentru Windows 7 SP1 și Windows Server 2008 R2 SP1.

  • KB4520002 Setul lunar pentru Windows Server 2008 SP2

Următoarele actualizări doar de securitate lansate pe 8 octombrie 2019 pentru platformele afectate se pot confrunta cu această problemă:

  • KB4519990 Actualizare doar de securitate pentru Windows 8.1 și Windows Server 2012 R2.

  • KB4519985 Actualizare doar de securitate pentru Windows Server 2012 și Windows Embedded 8 Standard.

  • KB4520003 Actualizare doar de securitate pentru Windows 7 SP1 și Windows Server 2008 R2 SP1

  • KB4520009 Actualizare doar de securitate pentru Windows Server 2008 SP2

Aveți nevoie de ajutor suplimentar?

Doriți mai multe opțiuni?

Explorați avantajele abonamentului, navigați prin cursurile de instruire, aflați cum să vă securizați dispozitivul și multe altele.

Comunitățile vă ajută să adresați întrebări și să răspundeți la întrebări, să oferiți feedback și să primiți feedback de la experți cu cunoștințe bogate.