Les connexions TLS (Transport Layer Security) peuvent échouer ou expirer lors de la connexion ou d'une reprise.

S’applique à : Windows 10, version 1903Windows 10, version 1809Windows Server 2019, all versions

Symptômes


Quand vous essayez de vous connecter, les connesions TLS (Transport Layer Security) peuvent échouer ou expirer.  Vous pouvez également recevoir une ou plusieurs des erreurs suivantes :

  • « La requête a été interrompue : Impossible de créer un canal sécurisé SSL/TLS ».
  •  Erreur 0x8009030f
  • Une erreur a été consignée dans le journal des événements système pour l'événement SCHANNEL 36887 avec le code d'alerte 20 et la description « Une alerte irrécupérable a été reçue du point de terminaison distant. Le code d’alerte irrécupérable défini par protocole de TLS est 20. »

Cause


En raison de l’application liée à la sécurité pour CVE-2019-1318, toutes les mises à jour des versions prises en charge de Windows publiées à partir du 8 octobre 2019 appliquent EMS (Extended Master Secret) pour la reprise, conformément à la norme RFC 7627.  Les connexions à des appareils et des systèmes d'exploitation tiers qui ne sont pas conformes peuvent présenter des problèmes ou échouer.

Étapes suivantes


Les connexions entre deux appareils exécutant une version prise en charge de Windows ne devraient pas avoir ce problème en cas de mise à jour complète.  Aucune mise à jour de Windows n’est nécessaire pour ce problème.  Ces modifications sont nécessaires pour résoudre un problème de sécurité et de conformité à la sécurité.

Tout système d’exploitation, appareil ou service tiers qui ne prend pas en charge la reprise SME peut présenter des problèmes liés aux connexions TLS.  Vous devez contacter votre administrateur, fabricant ou fournisseur de services pour obtenir des mises à jour qui prennent pleinement en charge la reprise SME telle que définie par la norme RFC 7627.

Remarque Microsoft ne recommande pas de désactiver EMS. Si EMS a été explicitement désactivé, vous pouvez le réactiver en définissant les valeurs de clé de Registre suivantes :

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

On TLS Server: DisableServerExtendedMasterSecret: 0
On TLS Client: DisableClientExtendedMasterSecret: 0

Informations avancées pour les administrateurs


1. Un appareil Windows tentant d’établir une connexion TLS (Transport Layer Security) avec un appareil qui ne prend pas en charge EMS (Extended Master Secret) quand les suites de chiffrement TLS_DHE_* sont négociées peut échouer par intermittence environ 1 tentative sur 256. Pour atténuer ce problème, implémentez l'une des solutions suivantes dans l'ordre de préférence :

  • Activez la prise en charge des extensions EMS (Extend Master Secret) lors de l’établissement de connexions TLS sur le client et le système d’exploitation serveur. 
  • Pour les systèmes d'exploitation qui ne prennent pas en charge EMS, supprimez les suites de chiffrement TLS_DHE_* de la liste de suites de chiffrement du système d'exploitation de l'appareil client TLS. Pour obtenir des instructions sur la procédure à suivre sur Windows, consultez l'article Prioritizing Schannel Cipher Suites (en anglais uniquement).


2. Les systèmes d’exploitation qui n’envoient des messages de demande de certificat que lors d’une négociation complète après la reprise ne sont pas conformes à RFC 2246 (TLS 1.0) ou RFC 5246 (TLS 1.2) et provoquent l'échec de chaque connexion. La reprise n’est pas garantie par les RFC, mais peut être utilisée à la discrétion du client et du serveur TLS.  Si vous rencontrez ce problème, vous devez contacter le fabricant ou le fournisseur de services pour obtenir des mises à jour conformes aux normes RFC.

3. Les serveurs FTP ou les clients non conformes à RFC 2246 (TLS 1.0) et RFC 5246 (TLS 1.2) peuvent ne pas transférer de fichiers à la reprise ou l'établissement d'une liaison abrégée et provoquer l'échec des connexions. Si vous rencontrez ce problème, vous devez contacter le fabricant ou le fournisseur de services pour obtenir des mises à jour conformes aux normes RFC.

Mises à jour concernées


N’importe quelle dernière mise à jour cumulative (LCU) ou derniers correctifs cumulatifs mensuels publiés le mardi 8 octobre 2019 ou à une date ultérieure pour les plateformes concernées peuvent présenter ce problème :

  • KB4517389 Mise à jour LCU pour Windows 10 version 1903.
  • KB4519338 Mise à jour LCU pour Windows 10 version 1809 et Windows Server 2019.
  • KB4520008 Mise à jour LCU pour Windows 10 version 1803.
  • KB4520004 Mise à jour LCU pour Windows 10 version 1709.
  • KB4520010 Mise à jour LCU pour Windows 10 version 1703.
  • KB4519998 Mise à jour LCU pour Windows 10 version 1607 et Windows Server 2016.
  • KB4520011 Mise à jour LCU pour Windows 10 version 1507.
  • KB4520005 Correctif cumulatif mensuel pour Windows 8.1 et Windows Server 2012 R2.
  • KB4520007 Correctif cumulatif mensuel pour Windows Server 2012.
  • KB4519976 Correctif cumulatif mensuel pour Windows 7 SP1 et Windows Server 2008 R2 SP1.
  • KB4520002 Correctif cumulatif mensuel pour Windows Server 2008 SP2.

La mise à jour de sécurité uniquement suivante publiée le mardi 8 octobre 2019 pour les plateformes concernées peut présenter ce problème :

  • KB4519990 Mise à jour de sécurité uniquement pour Windows 8.1 et Windows Server 2012 R2.
  • KB4519985 Mise à jour de sécurité uniquement pour Windows Server 2012 et Windows Embedded 8 Standard.
  • KB4520003 Mise à jour de sécurité uniquement pour Windows 7 SP1 et Windows Server 2008 R2 SP1.
  • KB4520009 Mise à jour de sécurité uniquement pour Windows Server 2008 SP2.