Síntomas
Imagine el siguiente escenario:
-
Utilice la autenticación de certificado de cliente Secure Sockets Layer/Transport Layer Security (SSL/TLS) en un equipo que está ejecutando Windows 8 o Windows Server 2012.
-
Se realiza una operación aparentemente no relacionado con la autenticación de certificado de cliente SSL/TLS. Sin embargo, la operación hace que el almacén raíz de confianza superar el límite de 16 kilobytes (KB). Por ejemplo, se realiza una de las siguientes operaciones:
-
En una sesión remota, un usuario no autenticado sondeos servidor de extremo SSL mediante un certificado de cliente que se encadena a novela raíces de confianza. A continuación, la interfaz criptográfica de programación de aplicaciones (CAPI) instala automáticamente las raíces de confianza novela.
-
Un usuario inicia sesión en el equipo y explora un sitio Web SSL/TLS que está protegido por una novela raíz de confianza.
-
CAPI una raíz instalada existente actualiza automáticamente. Este comportamiento hace que el tamaño de la raíz para aumentar o cambiar el orden de enumeración.
-
Se produce un cambio en el código de orden de enumeración de certificado (por ejemplo, instalar una revisión que cambia el código de almacén de certificados o cambia la ordenación de la tabla).
-
El usuario pasa el uso de certificados.
-
Un administrador instala nuevos certificados en el almacén raíz de confianza.
-
En este escenario, la autenticación de certificado de cliente ya no funciona.
Nota: Este problema se produce independientemente del valor de la entrada del registro SendTrustedIssuerList . En otras palabras, no se puede resolver este problema estableciendo un valor para la entrada de registro SendTrustedIssuerList . La entrada de registro SendTrustedIssuerList se encuentra bajo la siguiente subclave del registro:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL
Causa
Este problema se produce porque la lista de entidades emisoras raíz de confianza se trunca incorrectamente en el servidor. De forma predeterminada, el servidor envía la lista para el cliente durante la validación de certificados de cliente. Por lo tanto, no es necesario el truncamiento.
Solución
Esta revisión también está disponible en el Catálogo de Microsoft Update.
Información de la revisión
Existe un hotfix disponible desde Microsoft. Sin embargo, esta revisión se diseñó para corregir únicamente el problema que se describe en este artículo. Aplíquela sólo a sistemas que experimenten este problema específico.
Si la revisión está disponible para su descarga, entonces podrá ver una sección de "Descarga de revisión disponible" en la parte superior de este artículo de Knowledge Base. Si esta sección no aparece, envíe una solicitud al servicio de atención al cliente y soporte técnico para obtener la revisión.
Nota: Si se producen problemas adicionales o si se requiere cualquier otra solución, será necesario crear una solicitud de revisión independiente. Los costos habituales de soporte se aplicarán a las preguntas de soporte técnico adicionales y problemas que no califican para esta revisión específica. Para obtener una lista completa de los números de teléfono de servicio al cliente de Microsoft o para crear una solicitud de servicio independiente, visite el siguiente sitio Web de Microsoft:
http://support.microsoft.com/contactus/?ws=supportNota: El formulario de "Descarga de revisión disponible" muestra los idiomas para los que la revisión está disponible. Si no ve su idioma, es porque no hay una revisión para ese idioma.
Requisitos previos
Para aplicar esta revisión, debe ejecutar Windows 8 o Windows Server 2012.
Información del registro
Para utilizar la revisión de este paquete, no es necesario realizar ningún cambio en el registro.
Requisito de reinicio
Debe reiniciar el equipo después de aplicar este hotfix.
Información de reemplazo de revisión
Esta revisión no sustituye a ninguna revisión publicada previamente.
La versión global de esta revisión instala archivos que tienen los atributos enumerados en las tablas siguientes. Las fechas y las horas de estos archivos se muestran en la hora Universal coordinada (UTC). Las fechas y las horas de estos archivos en el equipo local se muestran en horario local junto con la diferencia de horario de verano (DST) actual. Además, las fechas y las horas pueden cambiar cuando realiza determinadas operaciones en los archivos.
Notas sobre la información de archivos de Windows 8 y Windows Server 2012Importante: Las hotfix de Windows 8 y Windows Server 2012 se incluyen en los mismos paquetes. Sin embargo, sólo "Windows 8" aparece en la página solicitud de revisión. Para solicitar el paquete de revisiones que se aplica a uno o ambos sistemas operativos, seleccione la revisión que aparece en "Windows 8" en la página. Siempre consulte la sección "Aplicable a" de los artículos para determinar el sistema operativo real a la que se aplica cada revisión.
-
Los archivos que se aplican a un producto, hito (RTM, SPn) y el servicio (LDR, GDR) se pueden identificar examinando los números de versión de archivo, como se muestra en la siguiente tabla:
Versión
Producto
Hito
Tipo de servicio
6.2.920 0.20 xxx
Windows 8 y Windows Server 2012
RTM
LDR
-
Los archivos MANIFEST (.manifest) y los MUM archivos (.mum) que se instalan para cada entorno están enumerados por separado en la sección "Información de archivo adicional para Windows 8 y Windows Server 2012". MUM y los archivos de manifiesto y los archivos de catálogo (.cat) de seguridad asociados, son extremadamente importantes para mantener el estado de los componentes actualizados. Los archivos de catálogo de seguridad, para los cuales no se muestran los atributos, están firmados con una firma digital de Microsoft.
Para todas las versiones compatibles basadas en x86 de Windows 8
Propiedad de archivo |
Valor |
---|---|
Nombre del archivo |
Schannel.dll |
Versión del archivo |
6.2.9200.20810 |
Tamaño de archivo |
325,632 |
Fecha (UTC) |
29-Aug-2013 |
Hora (UTC) |
04:11 |
Plataforma |
x86 |
Para todas las versiones de x64 de Windows 8 y de Windows Server 2012
Propiedad de archivo |
Valor |
---|---|
Nombre del archivo |
Schannel.dll |
Versión del archivo |
6.2.9200.20810 |
Tamaño de archivo |
416,256 |
Fecha (UTC) |
29-Aug-2013 |
Hora (UTC) |
05:25 |
Plataforma |
x64 |
Nombre del archivo |
Schannel.dll |
Versión del archivo |
6.2.9200.20810 |
Tamaño de archivo |
325,632 |
Fecha (UTC) |
29-Aug-2013 |
Hora (UTC) |
04:11 |
Plataforma |
x86 |
Estado
Microsoft ha confirmado que se trata de un problema de los productos de Microsoft que se enumeran en la sección "Aplicable a".
Más información
El tamaño máximo de un paquete TLS que viajan a través de la red es de 16 KB. En el problema que se describe en este artículo, el servidor genera una lista de nombres completos de las autoridades de certificado aceptable y, a continuación, envía la lista al cliente. Si el número de los certificados aceptables es grande (por ejemplo, más de 300 certificados), el tamaño del paquete TLS puede superar el límite de 16 KB. Por lo tanto, el servidor trunca la lista en 16 KB para enviar la lista al cliente.
Para obtener más información acerca de la terminología de la actualización de software, haga clic en el número de artículo siguiente para verlo en Microsoft Knowledge Base:
824684 descripción de la terminología estándar que se utiliza para describir las actualizaciones de software de Microsoft
Información adicional de archivos para Windows 8 y Windows Server 2012
Archivos adicionales para todas las versiones compatibles basadas en x86 de Windows 8
Propiedad de archivo |
Valor |
---|---|
Nombre del archivo |
X86_microsoft-windows-security-schannel_31bf3856ad364e35_6.2.9200.20810_none_1f92a99e3f9206f5.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
13,286 |
Fecha (UTC) |
29-Aug-2013 |
Hora (UTC) |
05:00 |
Plataforma |
No aplicable |
Archivos adicionales para todas las versiones basadas en x64 compatibles de Windows 8 y de Windows Server 2012
Propiedad de archivo |
Valor |
---|---|
Nombre del archivo |
Amd64_microsoft-windows-security-schannel_31bf3856ad364e35_6.2.9200.20810_none_7bb14521f7ef782b.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
13,290 |
Fecha (UTC) |
29-Aug-2013 |
Hora (UTC) |
06:43 |
Plataforma |
No aplicable |
Nombre del archivo |
Wow64_microsoft-windows-security-schannel_31bf3856ad364e35_6.2.9200.20810_none_8605ef742c503a26.manifest |
Versión del archivo |
No aplicable |
Tamaño de archivo |
7,312 |
Fecha (UTC) |
29-Aug-2013 |
Hora (UTC) |
04:51 |
Plataforma |
No aplicable |