Ознаки
Під час спроби підключення протокол TLS може перериватися або час очікування може завершуватися. Ви також можете отримати одну або кілька наведених нижче помилок.
-
"Запит перервано: не вдалося створити безпечний канал SSL або TLS"
-
Помилка 0x8009030f
-
У системному журналі подій для події SCHANNEL 36887 із кодом оповіщення 20 і описом "Критичне оповіщення отримано з віддаленої кінцевої точки. Протокол TLS визначив критичний код оповіщення: 20."
Причина
Завдяки примусовому застосуванню, пов’язаному з безпекою, для CVE-2019-1318 усі оновлення для підтримуваних версій Windows, випущених 8 жовтня 2019 р. або пізніше, примусово використовують Extended Master Secret (EMS) для відновлення, як визначено RFC 7627. Підключення до пристроїв і ОС сторонніх виробників, які не відповідають вимогам, можуть мати проблеми або завершуватися з помилкою.
Наступні кроки
Ця проблема не стосується підключень між двома пристроями під керуванням будь-якої підтримуваної версії Windows після інсталяції всіх оновлень. Для вирішення цієї проблеми не потрібне оновлення для Windows. Ці зміни потрібні для вирішення проблеми з безпекою та забезпечення відповідності стандартам безпеки.
У ОС, службі або на пристрої стороннього виробника, який не підтримує відновлення EMS, можуть виникнути проблеми, пов’язані з підключеннями TLS. Зверніться до свого адміністратора, виробника або постачальника послуг, щоб отримати оновлення, які повністю підтримують відновлення EMS, як визначено RFC 7627.
Нотатка Корпорація Майкрософт не рекомендує вимикати EMS. Якщо функцію EMS було раніше явно вимкнуто, її можна ввімкнути. Для цього потрібно встановити такі значення розділів реєстру:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
На сервері TLS: DisableServerExtendedMasterSecret: 0 У клієнті TLS: DisableClientExtendedMasterSecret: 0
Додаткові відомості для адміністраторів
1. Ця проблема може періодично з’являтися під час приблизно 1 з 256 спроб на пристрої Windows, який намагається підключитися за допомогою протоколу Transport Layer Security (TLS) до пристрою, що не підтримує Extended Master Secret (EMS), коли комплекси шифрів TLS_DHE_* узгоджуються. Щоб зменшити цю проблему, виконайте одне з наведених нижче рішень, розташованих у порядку пріоритету.
-
Увімкніть підтримку розширень Extend Master Secret (EMS) під час виконання підключень TLS у операційній системі клієнта та сервера.
-
Для операційних систем, які не підтримують EMS, видаліть комплекси шифрів TLS_DHE_* зі списку комплексів шифрів у ОС клієнтського пристрою TLS. Інструкції з видалення комплексів шифрів у Windows, див. в розділі Визначення пріоритетів комплексів шифрів безпечного каналу.
RFC 2246 (TLS 1.0) або RFC 5246 (TLS 1.2) й викликатимуть переривання кожного підключення. Відновлення не гарантується RFC, але може використовуватися на розсуд клієнта та сервера TLS. У разі виникнення цієї проблеми потрібно звернутися до виробника або постачальника послуг, щоб отримати оновлення, які відповідають стандартам RFC. 3. FTP-сервери або клієнти, несумісні з RFC 2246 (TLS 1.0) або RFC 5246 (TLS 1.2), можуть не передавати файли при відновленні або скороченому установленні зв’язку та викликати переривання кожного підключення. У разі виникнення цієї проблеми потрібно звернутися до виробника або постачальника послуг, щоб отримати оновлення, які відповідають стандартам RFC.
2. Операційні системи, які надсилають повідомлення про запит сертифіката лише в повністю встановленому зв’язку після відновлення, несумісні зОновлення, яких це стосується
Ця проблема може стосуватися будь-яких останніх сукупних оновлень (LCU) або щомісячних зведених оновлень від 8 жовтня, 2019 р. або пізніших для відповідних платформ:
-
KB4517389 LCU для Windows 10 версії 1903.
-
KB4519338 LCU для Windows 10 версії 1809 і Windows Server 2019.
-
KB4520008 LCU для Windows 10 версії 1803.
-
KB4520004 LCU для Windows 10 версії 1709.
-
KB4520010 LCU для Windows 10 версії 1703.
-
KB4519998 LCU для Windows 10 версії 1607 і Windows Server 2016.
-
KB4520011 LCU для Windows 10 версії 1507.
-
KB4520005 Щомісячне зведене оновлення для Windows 8.1 і Windows Server 2012 R2.
-
KB4520007 Щомісячне зведене оновлення для Windows Server 2012.
-
KB4519976 Щомісячне зведене оновлення для Windows 7 SP1 і Windows Server 2008 R2 SP1.
-
KB4520002 Щомісячне зведене оновлення для Windows Server 2008 SP2
Ця проблема може стосуватися наведених нижче оновлень лише системи безпеки від 8 жовтня 2019 р. для відповідних платформ:
-
KB4519990 Оновлення лише системи безпеки для Windows 8.1 і Windows Server 2012 R2.
-
KB4519985 Оновлення лише системи безпеки для Windows Server 2012 і Windows Embedded 8 Standard.
-
KB4520003 Оновлення лише системи безпеки для Windows 7 SP1 і Windows Server 2008 R2 SP1.
-
KB4520009 Оновлення лише системи безпеки для Windows Server 2008 SP2