قد تفشل اتصالات بروتوكول أمان طبقة النقل (TLS) أو تنتهي مهلتها عند الاتصال أو محاولة الاستئناف

ينطبق على: Windows 10, version 1903Windows 10, version 1809Windows Server 2019, all versions

الأعراض


عند محاولة الاتصال، قد يفشل بروتوكول أمان طبقة النقل (TLS) أو تنتهي مهلته. قد تتلقى أيضًا خطأ واحدًا أو أكثر من الأخطاء التالية:

  • "تم إجهاض الطلب: تعذر إنشاء قناة SSL/TLS آمنة"
  •  الخطأ 0x8009030f
  • تم تسجيل خطأ في سجل أحداث النظام لحدث SCHANNEL رقم 36887 برمز التنبيه 20 والوصف، "تم تلقي تنبيه خطير من نقطة النهاية البعيدة. رمز التنبيه الخطير المحدد لبروتوكول TLS هو 20.​"

السبب


نظرًا للفرض المتعلق بالأمان لـ CVE-2019-1318، تفرض جميع التحديثات للإصدارات المدعومة من Windows والتي تم إصدارها في 8 أكتوبر 2019 أو لاحقًا Extended Master Secret (EMS) للاستئناف كما هو محدد بواسطة RFC 7627. قد تواجه الاتصالات بأجهزة وأنظمة تشغيل خارجية غير متوافقة مشكلات أو تفشل.

الخطوات التالية


لا ينبغي أن تواجه الاتصالات بين جهازين يعملان بأي إصدار مدعوم من Windows هذه المشكلة عند التحديث بالكامل. لا يوجد تحديث لنظام التشغيل Windows مطلوب لحل هذه المشكلة. هذه التغييرات مطلوبة لمعالجة أي مشكلة أمنية وتوافق أمني.

قد يواجه أي نظام تشغيل أو جهاز أو خدمة تابع لجهة أخرى لا تدعم استئناف EMS مشكلات متعلقة باتصالات TLS. يجب عليك الاتصال بالمسؤول أو الشركة المصنّعة أو مزود الخدمة للحصول على التحديثات التي تدعم بشكل كامل استئناف EMS كما هو محدد بواسطة RFC 7627.

ملاحظة لا توصي Microsoft بتعطيل EMS. إذا تم تعطيل EMS سابقًا بشكل واضح، فيمكن إعادة تمكينه عن طريق تعيين قيم مفتاح التسجيل التالية:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

على خادم TLS: DisableServerExtendedMasterSecret: 0
على عميل TLS: DisableClientExtendedMasterSecret: 0

المعلومات المتقدمة للمسؤولين


1. جهاز Windows الذي يحاول اتصال أمان طبقة النقل (TLS) بجهاز لا يدعم Extended Master Secret (EMS) عند التفاوض على مجموعات التشفير TLS_DHE_* قد يفشل بشكل متقطع تقريبًا مرة واحدة من أصل 256 محاولة. لتقليل هذه المشكلة، قم بتنفيذ أحد الحلول التالية المدرجة بحسب ترتيب التفضيل:

  • قم بتمكين دعم ملحقات Extend Master Secret (EMS) عند إجراء اتصالات TLS على كل من العميل ونظام تشغيل الخادم. 
  • بالنسبة لأنظمة التشغيل التي لا تدعم EMS، قم بإزالة مجموعات التشفير TLS_DHE_* من قائمة مجموعات التشفير في نظام التشغيل لجهاز عميل TLS. للحصول على إرشادات حول كيفية القيام بذلك على Windows، راجع ترتيب أولويات مجموعات تشفير Schannel.


2. إن أنظمة التشغيل التي ترسل رسائل طلبات الشهادات في تأكيد اتصال كامل والتي تتبع الاستئناف ليست RFC 2246 (TLS 1.0) أو RFC 5246 (TLS 1.2) متوافقة وسوف تتسبب في فشل كل اتصال. لا يتم ضمان الاستئناف بواسطة RFCs ولكن يمكن استخدامه وفقًا لتقدير عميل وخادم TLS. إذا واجهت هذه المشكلة، فسوف تحتاج إلى الاتصال بالشركة المصنّعة أو مزود الخدمة للحصول على التحديثات التي تتوافق مع معايير RFC.

3. قد تفشل خوادم أو عملاء FTP غير المتوافقة مع RFC 2246 (TLS 1.0) وRFC 5246 (TLS 1.2) في نقل الملفات عند الاستئناف أو تأكيد الاتصال المختصر وسوف يتسبب في فشل كل اتصال. إذا واجهتك هذه المشكلة، فستحتاج إلى الاتصال بالشركة المصنّعة أو مزود الخدمة للحصول علي التحديثات التي تتوافق مع معايير RFC.

التحديثات المتأثرة


قد يواجه أي تحديث تراكمي أخير (LCU)، أو مجموعات التحديثات الشهرية التي تم إطلاقها في 8 أكتوبر 2019 أو بعد ذلك للأنظمة الأساسية المتوفرة هذه المشكلة:

  • KB4517389 LCU لـ Windows 10، الإصدار 1903.
  • KB4519338 LCU للإصدار 1809 من Windows 10 وWindows Server 2019.
  • KB4520008 LCU لـ Windows 10، الإصدار 1803.
  • KB4520004 LCU لـ Windows 10، الإصدار 1709.
  • KB4520010 LCU لـ Windows 10، الإصدار 1703.
  • KB4519998 LCU لـ Windows 10، الإصدار 1607 وWindows Server 2016.
  • KB4520011 LCU لـ Windows 10، الإصدار 1507.
  • KB4520005 مجموعة تحديثات شهرية لكل من Windows 8.1 وWindows Server 2012 R2.
  • KB4520007 مجموعة التحديثات الشهرية لـ Windows Server 2012.
  • KB4519976 مجموعة تحديثات شهرية لكل من Windows 7 SP1 وWindows Server 2008 R2 SP1.
  • KB4520002 مجموعة التحديثات الشهرية لـ Windows Server 2008 SP2

قد يواجه التحديث الأمني فقط التالي الذي تم إطلاقه في 8 أكتوبر 2019 للأنظمة الأساسية المتوفرة هذه المشكلة:

  • KB4519990 تحديث أمني فقط لكل من Windows 8.1 وWindows Server 2012 R2.
  • KB4519985 تحديث أمني فقط لكل من Windows Server 2012 وWindows Embedded 8 Standard.
  • KB4520003 تحديث أمني فقط لكل من Windows 7 SP1 وWindows Server 2008 R2 SP1
  • KB4520009 تحديث أمني فقط لـ Windows Server 2008 SP2