Problemas de comunicación SSL/TLS después de instalar kb 931125

En este artículo se proporciona una solución a los problemas de comunicación SSL/TLS que se producen después de instalar kb 931125.

Se aplica a: Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2

Número de KB original: 2801679

Síntomas

Después del 11 de diciembre de 2012, las aplicaciones y las operaciones que dependen de las autenticaciones basadas en TLS pueden producir un error repentino aunque no tengan ningún cambio de configuración aparente. Algunas de las aplicaciones y operaciones que pueden producir errores incluyen, entre otras, las siguientes:

  • Acceso a la red inalámbrica que usa la autenticación basada en certificados
  • Acceso a red cableada que usa la autenticación basada en certificados
  • Conectividad de cliente a Lync o a Office Communications Server
  • Correo de voz que usa Exchange Server junto con mensajería unificada
  • Acceso al sitio web habilitado para SSL
  • Inicios de sesión de Outlook
  • Retrasos de arranque del sistema operativo (arranque lento)
  • Retrasos en los inicios de sesión de usuario (inicio de sesión lento)

Los eventos que se registran en Windows o en registros de eventos específicos de la aplicación, y que ya sean de ámbito o identifican definitivamente el síntoma que se describe en este artículo, incluyen, entre otros, los eventos que se enumeran en la tabla siguiente.

Registro de eventos Origen del evento Id. de evento Texto del evento
Sistema Schannel 36885 Al solicitar la autenticación de cliente, este servidor envía una lista de entidades de certificación de confianza al cliente. El cliente usa esta lista para elegir un certificado de cliente de confianza para el servidor. Actualmente, este servidor confía en tantas entidades de certificación que la lista ha crecido demasiado tiempo. Por lo tanto, esta lista se ha truncado. El administrador de esta máquina debe revisar las entidades de certificación de confianza para la autenticación de cliente y quitar las que realmente no necesitan ser de confianza.
Sistema Schannel 36887 Se recibió la siguiente alerta fatal: 47
Sistema NapAgent 39 El agente de protección de acceso a la red no pudo determinar a qué RRHH solicitar un certificado de estado. Un cambio de red o si se configura GP, un cambio de configuración solicitará más intentos de adquirir un certificado de estado. De lo contrario, no se realizarán más intentos. Póngase en contacto con el administrador de HRA para obtener más información.
Sistema Remoteaccess 20225 El siguiente error se produjo en el módulo Protocolo de punto a punto en el puerto:
VPN2-509, UserName: <username>. La conexión se impidió debido a una directiva configurada en el servidor RAS/VPN. En concreto, es posible que el método de autenticación usado por el servidor para comprobar que el nombre de usuario y la contraseña no coincidan con el método de autenticación configurado en el perfil de conexión. Póngase en contacto con el administrador del servidor RAS y notifíquele este error.
Sistema Remoteaccess 20271 El nombre de usuario de usuario <conectado desde <la dirección> IP, pero no pudo realizar un intento de autenticación debido al siguiente motivo:
La conexión se impidió debido a una directiva configurada en el servidor RAS/>VPN. En concreto, es posible que el método de autenticación usado por el servidor para comprobar que el nombre de usuario y la contraseña no coincidan con el método de autenticación configurado en el perfil de conexión. Póngase en contacto con el administrador del servidor RAS y notifíquele este error.

Causa

Estos problemas pueden producirse si ha actualizado las entidades de certificación raíz de terceros mediante el paquete de actualización de 931125 kb de diciembre de 2012. El paquete kb 931125 que se publicó el 11 de diciembre de 2012 solo estaba pensado para sku de cliente. Sin embargo, también se ofreció para las SKU de servidor durante un breve período de tiempo en Windows Update y WSUS.

Este paquete instaló más de 330 entidades de certificación raíz de terceros. Actualmente, el tamaño máximo de la lista de entidades de certificación de confianza que admite el paquete de seguridad Schannel es de 16 kilobytes (KB). Tener una gran cantidad de entidades de certificación raíz de terceros superará el límite de 16 000 y experimentará problemas de comunicación TLS/SSL.

Solución

Si usa WSUS y no ha instalado la actualización de 931125 kb de diciembre de 2012, debe sincronizar los servidores WSUS y, a continuación, aprobar las expiraciones para que los servidores no instalen la actualización.

Si instaló el paquete de actualización de 931125 KB de diciembre de 2012, debe usar la siguiente resolución para quitar entidades de certificación raíz de terceros adicionales en todos los servidores que ahora tienen una gran cantidad de entidades de certificación raíz de terceros.

Nota:

Esta solución quita todas las entidades de certificación raíz de terceros. Si el servidor tiene conectividad con Windows Update, agregará automáticamente entidades de certificación raíz de terceros según sea necesario, como también se describe en KB 931125. Si un servidor afectado está aislado o desconectado de Internet, debe agregar manualmente las entidades de certificación raíz de terceros necesarias como lo habría hecho en el pasado. (O bien, puede instalarlos mediante directiva de grupo).

Para solucionar este problema, elimine la siguiente clave del Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Para ello, siga estos pasos:

  1. Inicio del Editor del Registro
  2. Busque la siguiente subclave del Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Haga clic con el botón derecho y, a continuación, elimine la clave denominada Certificados.

Nota:

Asegúrese de realizar una copia de seguridad del registro y las claves afectadas antes de realizar cambios en el sistema.

Más información

Estos problemas pueden producirse si un servidor TLS/SSL contiene muchas entradas en la lista de certificación raíz de confianza. El servidor envía una lista de entidades de certificación de confianza al cliente si se cumplen las condiciones siguientes:

  • El servidor usa el protocolo SEGURIDAD de la capa de transporte (TLS)/SSL para cifrar el tráfico de red.
  • Los certificados de cliente son necesarios para la autenticación durante el proceso de protocolo de enlace de autenticación.

Esta lista de entidades de certificación de confianza representa las autoridades desde las que el servidor puede aceptar un certificado de cliente. Para que lo autentique el servidor, el cliente debe tener un certificado que esté presente en la cadena de certificados en un certificado raíz de la lista del servidor. Esto se debe a que el certificado de cliente siempre es el certificado de entidad final al final de la cadena. El certificado de cliente no forma parte de la cadena.

Actualmente, el tamaño máximo de la lista de entidades de certificación de confianza que admite el paquete de seguridad Schannel es de 16 KB en Windows Server 2008, Windows Server 2008 R2 y Windows Server 2012.

Schannel crea la lista de entidades de certificación de confianza mediante la búsqueda en el almacén de entidades de certificación raíz de confianza en el equipo local. Todos los certificados de confianza con fines de autenticación de cliente se agregan a la lista. Si el tamaño de esta lista supera los 16 KB, Schannel registra el identificador de evento de advertencia 36855. A continuación, Schannel trunca la lista de certificados raíz de confianza y envía esta lista truncada al equipo cliente.

Cuando el equipo cliente recibe la lista truncada de certificados raíz de confianza, es posible que el equipo cliente no tenga un certificado que exista en la cadena de un emisor de certificados de confianza. Por ejemplo, el equipo cliente puede tener un certificado que corresponda a un certificado raíz de confianza que Schannel truncado de la lista de entidades de certificación de confianza. Por lo tanto, el servidor no puede autenticar el cliente.