Es posible que al conectarse o durante la reanudación se produzca un error en las conexiones de seguridad de la capa de transporte (TLS) o que estas agoten el tiempo de espera.

Se aplica a: Windows 10, version 1903Windows 10, version 1809Windows Server 2019, all versions

Síntomas


Es posible que al intentar conectarse se produzca un error en la seguridad de la capa de transporte (TLS) o que esta agote el tiempo de espera.  También puede recibir uno o varios de los siguientes errores:

  • "Se anuló la solicitud: no se pudo crear el canal seguro SSL/TLS"
  •  error 0x8009030f
  • Error registrado en el registro de eventos del sistema para el evento SCHANNEL 36887 con el código de alerta 20 y la descripción "Se recibió una alerta irrecuperable desde el extremo remoto. El código de alerta irrecuperable definido por el protocolo TLS es 20".

Causa


Debido a la aplicación relacionada con la seguridad de CVE-2019-1318, todas las actualizaciones para las versiones compatibles de Windows publicadas el 8 de octubre de 2019 en adelante aplican el secreto maestro extendido (EMS) para la reanudación según lo definido por RFC 7627.  Las conexiones con dispositivos y sistemas operativos de terceros que no sean conformes podrían presentar un error o tener problemas.

Próximos pasos


Las conexiones entre dos dispositivos que ejecutan cualquier versión compatible de Windows no deberían tener este problema si los dispositivos están completamente actualizados.  No se necesita ninguna actualización de Windows para solucionar este problema.  Estos cambios son necesarios para solucionar un problema de seguridad y para garantizar el cumplimiento de las normas de seguridad.

Cualquier sistema operativo, dispositivo o servicio de terceros que no admita la reanudación de EMS puede presentar problemas relacionados con las conexiones TLS.  Debe ponerse en contacto con el administrador, fabricante o proveedor de servicios para obtener actualizaciones que admitan completamente la reanudación de EMS según lo definido por RFC 7627.

Nota Microsoft no recomienda deshabilitar EMS. Si EMS se deshabilitó previamente de manera explícita, se puede volver a habilitar estableciendo los siguientes valores de clave del Registro:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

On TLS Server: DisableServerExtendedMasterSecret: 0
On TLS Client: DisableClientExtendedMasterSecret: 0

Información avanzada para administradores


1. Un dispositivo Windows que intente establecer una conexión de seguridad de la capa de transporte (TLS) con un dispositivo que no admite el secreto principal extendido (EMS) cuando se negocian los conjuntos de cifrado TLS_DHE_* podría presentar un error de manera intermitente en aproximadamente 1 de cada 256 intentos. Para mitigar este problema, implemente una de las siguientes soluciones enumeradas en orden de preferencia:

  • Habilite la compatibilidad con extensiones de Secreto principal extendido (EMS) en el sistema operativo del cliente y del servidor al establecer conexiones TLS. 
  • Para los sistemas operativos que no admiten EMS, quite los conjuntos de cifrado TLS_DHE_* de la lista de conjuntos de cifrado en el sistema operativo del dispositivo cliente TLS. Para obtener instrucciones sobre cómo hacer esto en Windows, consulte Prioritizing Schannel Cipher Suites.


2. Los sistemas operativos que solo envíen mensajes de solicitud de certificado en un protocolo de enlace completo después de la reanudación no cumplen con RFC 2246 (TLS 1.0) ni con RFC 5246 (TLS 1.2) y provocarán un error en cada conexión. Los RFC no garantizan la reanudación, pero se puede utilizar a discreción del cliente y del servidor TLS.  Si se produce este problema, deberá ponerse en contacto con el fabricante o proveedor de servicios para obtener actualizaciones que cumplan con los estándares RFC.

3. Es posible que los servidores o clientes FTP que no cumplan con RFC 2246 (TLS 1.0) ni con RFC 5246 (TLS 1.2) no transfieran archivos durante la reanudación o el protocolo de enlace abreviado y provoquen un error en cada conexión. Si se produce este problema, deberá ponerse en contacto con el fabricante o proveedor de servicios para obtener actualizaciones que cumplan con los estándares RFC.

Actualizaciones afectadas


Cualquier actualización acumulativa más reciente (LCU) o paquetes acumulativos mensuales publicados el martes, 8 de octubre de 2019 o posteriormente para las plataformas afectadas podrían experimentar este problema:

  • KB4517389 LCU para Windows 10, versión 1903.
  • KB4519338 LCU para Windows 10, versión 1809 y Windows Server 2019.
  • KB4520008 LCU para Windows 10, versión 1803.
  • KB4520004 LCU para Windows 10, versión 1709.
  • KB4520010 LCU para Windows 10, versión 1703.
  • KB4519998  LCU para Windows 10, versión 1607 y Windows Server 2016.
  • KB4520011 LCU para Windows 10, versión 1507.
  • KB4520005 Paquete acumulativo mensual para Windows 8.1 y Windows Server 2012 R2.
  • KB4520007 Paquete acumulativo mensual para Windows Server 2012.
  • KB4519976 Paquete acumulativo mensual para Windows 7 SP1 y Windows Server 2008 R2 SP1
  • KB4520002 Paquete acumulativo mensual para Windows Server 2008 SP2.

Las siguientes actualizaciones de solo seguridad publicadas el martes, 8 de octubre de 2019 para las plataformas afectadas podrían experimentar este problema:

  • KB4519990 Actualización de solo seguridad para Windows 8.1 y Windows Server 2012 R2.
  • KB4519985 Actualización de solo seguridad para Windows Server 2012 y Windows Embedded 8 Standard.
  • KB4520003 Actualización de solo seguridad para Windows 7 SP1 y Windows Server 2008 R2 SP1
  • KB4520009 Actualización de solo seguridad para Windows Server 2008 SP2