TLS-forbindelser (Transport Layer Security) kan medføre fejl eller timeout, når der oprettes forbindelse eller gøres forsøg på at genoptage

Gælder for: Windows 10, version 1903, all editionsWindows 10, version 1809, all editionsWindows Server 2019, all editions

Symptomer


TLS-tilslutninger (Transport Layer Security) kan indimellem mislykkes eller få timeout. Du kan også få en eller flere af følgende fejl:

  • "Anmodningen blev afslået: Der kan ikke oprettes en sikker SSL/TLS-kanal"
  •  error 0x8009030f
  • En fejl blev logført i systemhændelsesloggen for SCHANNEL-hændelse 36887 med advarselskoden 20 og beskrivelsen "Der blev modtaget en alvorlig fejl fra fjernslutpunktet. Advarselskoden for den alvorlige fejl, som defineres af TLS-protokollen, er 20.​"

Årsag


På grund af sikkerhedsrelateret håndhævelse af CVE-2019-1318 håndhæver alle opdateringer til understøttede versioner af Windows, der er udgivet den 8. oktober 2019 eller senere, EMS (Extended Master Secret) til genoptagelse, som defineret af RFC 7627. Forbindelser til tredjepartsenheder og OS'er, der ikke er kompatible, har muligvis problemer eller mislykkes.

Næste trin


Forbindelser mellem to enheder, der kører en understøttet version af Windows, bør ikke have dette problem, når de er helt opdateret. Det er ikke nødvendigt med en opdatering til Windows for dette problem. Disse ændringer kræves for at løse et sikkerhedsproblem og en sikkerhedsrisiko.

Alle tredjepartsoperativsystemer, -enheder eller -tjenester, der ikke understøtter EMS-genoptagelse, kan udvise problemer i forbindelse med TLS-forbindelser. Du skal kontakte din administrator, producenten eller tjenesteudbyderen for at få opdateringer, der fuldt ud understøtter EMS-genoptagelse som defineret af RFC 7627.

Bemærk! Microsoft fraråder deaktivering af EMS. Hvis EMS tidligere udtrykkeligt blev deaktiveret, kan det genaktiveres ved at angive følgende nøgleværdier i registreringsdatabasen:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

På TLS-server: DisableServerExtendedMasterSecret: 0
På TLS-klient: DisableClientExtendedMasterSecret: 0

Avancerede oplysninger til administratorer


1. En Windows-enhed, som forsøger at oprette en TLS-tilslutning (Transport Layer Security) til en enhed, der ikke understøtter EMS (Extended Master Secret), når der forhandles om TLS_DHE_*-krypteringspakker, kan opleve dette problem i 1 ud af 256 forsøg. Du kan afhjælpe problemet ved at implementere en af følgende løsninger, angivet i den foretrukne rækkefølge:

  • Aktivér understøttelse af EMS-udvidelser (Extend Master Secret), når der oprettes TLS-forbindelser på både klientens og serverens operativsystem. 
  • Ved operativsystemer, der ikke understøtter EMS, skal du fjerne TLS_DHE_*-krypteringspakkerne fra krypteringspakkelisten i operativsystemet for TLS-klientenheden. Du kan finde flere oplysninger om, hvordan du gør dette i Windows, under Prioritering af Schannel-krypteringspakker.


2. Operativsystemer, der kun sender certifikatanmodninger i fuld handshake efter genoptagelse, er ikke kompatible med RFC 2246 (TLS 1.0) eller RFC 5246 (TLS 1.2) og vil medføre, at alle forbindelser mislykkes. Der er ingen garanti for, at RFC'er genoptages, men de kan bruges til TLS-klienten og -serveren. Hvis du støder på dette problem, skal du kontakte producenten eller tjenesteudbyderen for at få opdateringer, der opfylder RFC-standarderne.

3. FTP-servere eller -klienter, der ikke er kompatible med RFC 2246 (TLS 1.0 ) og RFC 5246 (TLS 1.2), kan muligvis ikke overføre filer på genoptagelses- eller forkortet handshake og vil medføre, at alle forbindelser mislykkes. Hvis du støder på dette problem, skal du kontakte producenten eller tjenesteudbyderen for at få opdateringer, der opfylder RFC-standarderne.

Påvirkede opdateringer


Enhver ny kumulativ opdatering (LCU) og månedlige opdateringspakker, der er frigivet den 8. oktober 2019 eller senere for de berørte platforme, kan opleve problemet:

  • KB4517389 LCU til Windows 10, version 1903.
  • KB4519338 LCU til Windows 10, version 1809 og Windows Server 2019.
  • KB4520008 LCU til Windows 10, version 1803.
  • KB4520004 LCU til Windows 10, version 1709.
  • KB4520010 LCU til Windows 10, version 1703.
  • KB4519998 LCU til Windows 10, version 1607 og Windows Server 2016.
  • KB4520011 LCU til Windows 10, version 1507.
  • KB4520005 Månedlig opdateringspakke til Windows 8.1 og Windows Server 2012 R2.
  • KB4520007 Månedlig opdateringspakke til Windows Server 2012.
  • KB4519976 Månedlig opdateringspakke til Windows 7 SP1 og Windows Server 2008 R2 SP1.
  • KB4520002 Månedlig opdateringspakke til Windows Server 2008 SP2

Følgende sikkerhedsopdatering, der er frigivet den 8. oktober 2019 for de berørte platforme, kan opleve problemet:

  • KB4519990 Sikkerhedsopdatering til Windows 8.1 og Windows Server 2012 R2.
  • KB4519985 Sikkerhedsopdatering til Windows Server 2012 og Windows Embedded 8 Standard.
  • KB4520003 Sikkerhedsopdatering til Windows 7 SP1 og Windows Server 2008 R2 SP1
  • KB4520009 Sikkerhedsopdatering til Windows Server 2008 SP2