Symtom
Transport Layer Security- anslutningar (TLS) misslyckas eller bryts när de når en tidsgräns. Du kan även få ett eller flera av följande fel:
-
”Begäran avbröts. Det gick inte att skapa en säker SSL/TLS-kanal.”
-
fel 0x8009030f
-
Ett fel loggades i systemhändelseloggen för SCHANNEL-händelse 36887 med koden 20 och beskrivningen ”Ett allvarligt fel returnerades från fjärrslutpunkten. Koden för det allvarliga felet som definieras i TLS-protokollet är 20.”
Orsak
På grund av säkerhetsrelaterade krav för CVE-2019-1318 kommer alla uppdateringar som stöds för versioner av Windows som getts ut 8 oktober 2019 eller senare framtvinga Extended Master Secret (EMS) för återupptagande på det sätt som definieras i RFC 7627. Anslutningar till enheter från tredje part eller andra tillverkare som inte är kompatibla kan få problem eller misslyckas helt.
Nästa steg
Anslutningar mellan två enheter som kör en version av Windows som stöds bör inte ha det här problemet när den är helt uppdaterad. Det behövs ingen uppdatering av Windows för det här problemet. Dessa ändringar krävs för att lösa ett säkerhetsproblem och säkerhetskrav.
Ett operativsystem, en enhet eller en tjänst från tredje part som inte har stöd för EMS för återupptagning kan uppleva problem som rör TLS-anslutningar. Du bör kontakta administratören, tillverkaren eller tjänstleverantören för att få uppdateringar som har fullt stöd för EMS för återupptagning enligt definitionen i RFC 7627.
Obs! Microsoft rekommenderar inte att du inaktiverar EMS. Om EMS tidigare inaktiverades kan det återaktiveras med följande registernyckelvärden:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
På TLS-servern: DisableServerExtendedMasterSecret: 0 På TLS-klienten: DisableClientExtendedMasterSecret: 0
Avancerad information för administratörer
1. En Windows-enhet som försöker upprätta en TLS-anslutning (Transport Layer Security) till en enhet som inte stöder Extended Master Secret (EMS) när förhandling om TLS_DHE_*-chiffersviter görs kan periodvis misslyckas vid ungefär 1 av 256 försök. För att lösa detta kan du prova någon av följande lösningar enligt ordningen nedan:
-
Aktivera stöd för EMS-tillägg (Extend Master Secret) när du upprättar TLS-anslutningar på både klient- och serveroperativsystem.
-
För operativsystem som inte stöder EMS: ta bort TLS_DHE_*-chiffersviter från listan med chiffersviter i operativsystemet för TLS-klientenheten. Anvisningar om hur du gör det i Windows finns i Prioritera Schannel-chiffersviter.
RFC 2246 (TLS 1.0) eller RFC 5246 (TLS 1.2) och medför att anslutningen inte kan upprättas. Återupptagning garanteras inte av RFC:erna men kan användas TLS-klienten och -servern bestämmer så. Om du stöter på det här problemet måste du kontakta tillverkaren eller tjänstleverantören för att få uppdateringar som uppfyller RFC-standarderna. 3. FTP-servrar eller klienter som inte är kompatibla med RFC 2246 (TLS 1.0) och RFC 5246 (TLS 1.2) kanske inte kan överföra filer vid återupptagning eller kortare handskakning och medför att anslutningen inte kan upprättas. Om du stöter på det här problemet måste du kontakta tillverkaren eller tjänstleverantören för att få uppdateringar som uppfyller RFC-standarderna.
2. Operativsystem som bara skickar meddelanden om certifikatbegäran i en fullständig handskakning efter återupptagning är inte kompatibla medBerörda uppdateringar
Senaste kumulativa uppdateringar (LCU) eller månatliga samlade uppdateringar från 8 oktober 2019 eller senare för berörda plattformar kan ha det här problemet:
-
KB4517389 LCU för Windows 10 version 1903.
-
KB4519338 LCU för Windows 10 version 1809 och Windows Server 2019.
-
KB4520008 LCU för Windows 10 version 1803.
-
KB4520004 LCU för Windows 10 version 1709.
-
KB4520010 LCU för Windows 10 version 1703.
-
KB4519998 LCU för Windows 10 version 1607 och Windows Server 2016.
-
KB4520011 LCU för Windows 10 version 1507.
-
KB4520005 Månatlig samlad uppdatering för Windows 8.1 och Windows Server 2012 R2.
-
KB4520007 Månatlig samlad uppdatering för Windows Server 2012.
-
KB4519976 Månatlig samlad uppdatering för Windows 7 SP1 och Windows Server 2008 R2 SP1.
-
KB4520002 Månatlig samlad uppdatering för Windows Server 2008 SP2.
Följande säkerhetsrelaterade uppdatering från 8 oktober 2019 för berörda plattformar kan ha det här problemet:
-
KB4519990 Endast säkerhetsuppdatering för Windows 8.1 och Windows Server 2012 R2.
-
KB4519985 Endast säkerhetsuppdatering för Windows Server 2012 och Windows Embedded 8 Standard.
-
KB4520003 Endast säkerhetsuppdatering för Windows 7 SP1 och Windows Server 2008 R2 SP1.
-
KB4520009 Endast säkerhetsuppdatering för Windows Server 2008 SP2.