Belirtiler
Bağlanmaya çalışırken Aktarım Katmanı Güvenliği (TLS) başarısız olabilir veya zaman aşımına uğrayabilir. Ayrıca aşağıdaki hatalardan birini veya birkaçını da alabilirsiniz:
-
"İstek durduruldu: SSL/TLS güvenli Kanalı oluşturulamadı"
-
hata 0x8009030f
-
Uyarı kodu 20 ve açıklamayla SCHANNEL olayı 36887 için Sistem Olay Günlüğü'ne kaydedilen bir hata: "Uzak bitiş noktasından önemli uyarı alındı. TLS protokolü tanımlı önemli uyarı kodu: 20."
Neden
CVE-2019-1318 için güvenlikle ilgili uygulama nedeniyle 8 Ekim 2019 veya sonrasında desteklenen Windows sürümlerine yönelik yayımlanan tüm güncelleştirmeler, RFC 7627 tarafından tanımlandığı şekilde sürdürebilmek için Genişletilmiş Ana Gizli Anahtar'ı (EMS) uygular. Uyumsuz olan üçüncü taraf cihazlara ve işletim sistemlerine bağlantılar, sorun yaşayabilir veya başarısız olabilir.
Sonraki Adımlar
Windows'un desteklenen bir sürümünü çalıştıran iki cihaz arasındaki bağlantılarda, cihazlar tamamen güncelleştirildiğinde bu sorunun olmaması gerekir. Bu soruna yönelik olarak Windows için güncelleştirme gerekli değildir. Bu değişiklikler, bir güvenlik sorununu gidermek ve güvenlik uyumluluğu için gereklidir.
EMS'nin sürdürmesini desteklemeyen üçüncü taraf işletim sistemleri, cihazlar veya hizmetlerde TLS bağlantılarıyla ilgili sorunlar görülebilir. RFC 7627 tarafından tanımlandığı şekilde EMS'nin sürdürmesini tamamen destekleyen güncelleştirmeler için yöneticinize, üreticinize veya hizmet sağlayıcınıza başvurmanız gerekir.
Not Microsoft, EMS'nin devre dışı bırakılmasını önermez. EMS önceden açıkça devre dışı bırakıldıysa aşağıdaki kayıt defteri anahtarı değerlerini ayarlayarak yeniden etkinleştirilebilir:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
TLS Sunucusu'nda: DisableServerExtendedMasterSecret: 0 TLS İstemcisi'nde: DisableClientExtendedMasterSecret: 0
Yöneticiler için ileri düzeyde bilgiler
1. TLS_DHE_* şifre paketleri üzerinde anlaşıldığında Genişletilmiş Ana Gizli Anahtar'ı (EMS) desteklemeyen bir cihaza Aktarım Katmanı Güvenliği (TLS) bağlantısı yapmaya çalışan bir Windows cihazı zaman zaman yaklaşık olarak 256'da 1 denemede başarısız olabilir. Bu sorunun etkisini azaltmak için aşağıda tercih sırasına göre listelenen çözümlerden birini uygulayın:
-
TLS bağlantılarını istemci ve sunucu işletim sisteminde gerçekleştirirken Genişletilmiş Ana Gizli Anahtar (EMS) uzantıları için desteği etkinleştirin.
-
EMS'yi desteklemeyen işletim sistemleri için TLS istemci cihazının işletim sistemindeki şifre paketi listesinden TLS_DHE_* şifre paketlerini kaldırın. Windows'ta bunun nasıl yapılacağı hakkında yönergeler için bkz. Schannel Şifre Paketlerinin Önceliklerini Belirleme.
RFC 2246 (TLS 1.0) veya RFC 5246 (TLS 1.2) uyumlu değildir ve her bağlantının başarısız olmasına neden olur. Sürdürme, RFC'ler tarafından garanti edilmez ancak TLS istemcisi ve sunucusunun takdiriyle kullanılabilir. Bu sorunla karşılaşırsanız RFC standartlarına uyan güncelleştirmeler için üreticiye veya hizmet sağlayıcısına başvurmanız gerekir. 3. RFC 2246 (TLS 1.0) ve RFC 5246 (TLS 1.2) ile uyumlu olmayan FTP sunucuları ya da istemcileri, sürdürmede veya kısaltılmış el sıkışmasında dosyaları aktarmada başarısız olabilir ve her bağlantının başarısız olmasına neden olur. Bu sorunla karşılaşırsanız RFC standartlarına uyan güncelleştirmeler için üreticiye veya hizmet sağlayıcısına başvurmanız gerekir.
2. Sürdürmeyi takiben tam el sıkışmasında yalnızca sertifika isteği iletileri gönderen işletim sistemleri,Etkilenen Güncelleştirmeler
Etkilenen platformlar için 8 Ekim 2019'da veya sonrasında yayımlanan tüm en son toplu güncelleştirmeler (LCU) veya Aylık Güncelleştirme Paketleri'nde bu sorun yaşanabilir:
-
Windows 10, sürüm 1903 için KB4517389 LCU.
-
Windows 10, sürüm 1809 ve Windows Server 2019 için KB4519338 LCU.
-
Windows 10, sürüm 1803 için KB4520008 LCU.
-
Windows 10, sürüm 1709 için KB4520004 LCU.
-
Windows 10, sürüm 1703 için KB4520010 LCU.
-
Windows 10, sürüm 1607 ve Windows Server 2016 için KB4519998 LCU.
-
Windows 10, sürüm 1507 için KB4520011 LCU.
-
KB4520005 Windows 8.1 ve Windows Server 2012 R2 için Aylık Güncelleştirme Paketi.
-
KB4520007 Windows Server 2012 için Aylık Güncelleştirme Paketi.
-
KB4519976 Windows 7 SP1 ve Windows Server 2008 R2 SP1 için Aylık Güncelleştirme Paketi.
-
KB4520002 Windows Server 2008 SP2 için Aylık Güncelleştirme Paketi
8 Ekim 2019'da yayımlanan aşağıdaki Yalnızca Güvenlik Güncelleştirmesi'nde şu sorun yaşanabilir:
-
KB4519990 Windows 8.1 ve Windows Server 2012 R2 için yalnızca güvenlik güncelleştirmesi.
-
KB4519985 Windows Server 2012 ve Windows Embedded 8 Standard için yalnızca güvenlik güncelleştirmesi.
-
KB4520003 Windows 7 SP1 ve Windows Server 2008 R2 SP1 için yalnızca güvenlik güncelleştirmesi
-
KB4520009 Windows Server 2008 SP2 için yalnızca güvenlik güncelleştirmesi