TLS-Verbindungen (Transport Layer Security) können zeitweise ausfallen oder eine Zeitüberschreitung beim Herstellen der Verbindung verursachen

Gilt für: Windows 10, version 1903, all editionsWindows 10, version 1809, all editionsWindows Server 2019, all editions

Problembeschreibung


Beim Versuch, eine Verbindung herzustellen, kann es vorkommen, dass TLS (Transport Layer Security) zeitweise fehlschlägt oder dass eine Zeitüberschreitung eintritt. Es können auch eine oder mehrere der folgenden Fehlermeldungen angezeigt werden:

  • „Die Anforderung wurde abgebrochen: Es konnte kein geschützter SSL/TLS-Kanal erstellt werden.“
  •  Fehler 0x8009030f
  • Im Systemereignisprotokoll für das SCHANNEL-Ereignis 36887 wurde ein Fehler mit dem Warnungscode 20 und der folgenden Beschreibung protokolliert „Es wurde eine schwerwiegende Warnung vom Remoteendpunkt empfangen. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 20.“

Ursache


Aufgrund der sicherheitsbezogenen Durchsetzung für CVE-2019-1318 erzwingen alle Updates für unterstützte Versionen von Windows, die am 8. Oktober 2019 oder später veröffentlicht wurden, Extended Master Secret (EMS) für die Wiederaufnahme gemäß RFC 7627. Verbindungen zu Geräten und Sicherheitssystemen von Drittanbietern, die nicht konform sind, können Probleme haben oder fehlschlagen.

Nächste Schritte


Bei Verbindungen zwischen zwei Geräten, auf denen eine unterstützte Windows-Version ausgeführt wird, sollte dieses Problem bei vollständiger Aktualisierung nicht auftreten. Für dieses Problem ist kein Update für Windows erforderlich. Diese Änderungen sind erforderlich, um ein Sicherheitsproblem und die Sicherheitskonformität zu beheben.

Alle Betriebssysteme, Geräte oder Dienste von Drittanbietern, die die EMS-Wiederaufnahme nicht unterstützen, können Probleme im Zusammenhang mit TLS-Verbindungen aufweisen. Wenden Sie sich an Ihren Administrator, Hersteller oder Dienstanbieter, um Updates zu erhalten, die die EMS-Wiederaufnahme gemäß RFC 7627 vollständig unterstützen.

Hinweis Microsoft rät davon ab, EMS zu deaktivieren. Wenn EMS zuvor explizit deaktiviert wurde, kann diese Funktion durch Festlegen der folgenden Registrierungsschlüsselwerte wieder aktiviert werden:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

On TLS Server: DisableServerExtendedMasterSecret: 0
On TLS Client: DisableClientExtendedMasterSecret: 0

Erweiterte Informationen für Administratoren


1. Ein Windows-Gerät, das versucht, eine TLS-Verbindung (Transport Layer Security) mit einem Gerät herzustellen, das Extended Master Secret (EMS) nicht unterstützt, wenn TLS_DHE_* Verschlüsselungssammlungen ausgehandelt werden, schlägt gelegentlich bei etwa 1 von 256 Versuchen fehl. Implementieren Sie eine der folgenden Lösungen in der angegebenen Reihenfolge, um dieses Problem zu beheben:

  • Aktivieren Sie die Unterstützung für Extend Master Secret(EMS)-Erweiterungen, wenn Sie TLS-Verbindungen sowohl auf dem Client- als auch auf dem Serverbetriebssystem ausführen. 
  • Entfernen Sie für Betriebssysteme, die EMS nicht unterstützen, die TLS_DHE_*-Verschlüsselungssammlung aus der Liste der Verschlüsselungssammlungen im Betriebssystem des TLS-Clientgeräts. Anweisungen für Windows finden Sie unter Priorisieren von Schannel-Verschlüsselungssammlungen.


2. Betriebssysteme, die nach der Wiederaufnahme nur Zertifikatanforderungsnachrichten in einem vollständigen Handshake senden, sind nicht mit RFC 2246 (TLS 1.0) oder RFC 5246 (TLS 1.2) kompatibel und führen zum Ausfall jeder Verbindung. Die Wiederaufnahme wird von den RFCs nicht garantiert, kann aber nach Ermessen des TLS-Clients und -Servers verwendet werden. Wenn dieses Problem auftritt, müssen Sie sich an den Hersteller oder Dienstanbieter wenden, um Updates zu erhalten, die den RFC-Standards entsprechen.

3. FTP-Server oder -Clients, die nicht mit RFC 2246 (TLS 1.0) und RFC 5246 (TLS 1.2) kompatibel sind, können möglicherweise keine Dateien bei der Wiederaufnahme oder bei einem verkürzten Handshake übertragen und führen dazu, dass jede Verbindung fehlschlägt. Wenn dieses Problem auftritt, müssen Sie sich an den Hersteller oder Dienstanbieter wenden, um Updates zu erhalten, die den RFC-Standards entsprechen.

Betroffene Updates


Bei den neuesten kumulativen Updates (Latest Cumulative Updates, LCUs) oder monatlichen Rollups, die am 8. Oktober 2019 oder später für die betroffenen Plattformen veröffentlicht wurden, kann dieses Problem auftreten:

  • KB4517389 LCU für Windows 10, Version 1903.
  • KB4519338 LCU für Windows 10, Version 1809, und Windows Server 2019.
  • KB4520008 LCU für Windows 10, Version 1803.
  • KB4520004 LCU für Windows 10, Version 1709.
  • KB4520010 LCU für Windows 10, Version 1703.
  • KB4519998 LCU für Windows 10, Version 1607, und Windows Server 2016.
  • KB4520011 LCU für Windows 10, Version 1507.
  • KB4520005 Monatlicher Rollup für Windows 8.1 und Windows Server 2012 R2.
  • KB4520007 Monatlicher Rollup für Windows Server 2012.
  • KB4519976 Monatlicher Rollup für Windows 7 SP1 und Windows Server 2008 R2 SP1.
  • KB4520002 Monatlicher Rollup für Windows Server 2008 SP2

Bei dem folgenden reinen Sicherheitsupdate, das am 8. Oktober 2019 für die betroffenen Plattformen veröffentlicht wurde, kann dieses Problem auftreten:

  • KB4519990 Reines Sicherheitsupdate für Windows 8.1 und Windows Server 2012 R2.
  • KB4519985 Reines Sicherheitsupdate für Windows Server 2012 und Windows Embedded 8 Standard.
  • KB4520003 Reines Sicherheitsupdate für Windows 7 SP1 und Windows Server 2008 R2 SP1.
  • KB4520009 Reines Sicherheitsupdate für Windows Server 2008 SP2