תסמינים
בעת ניסיון להתחבר, Transport Layer Security (TLS) ו- Secure Sockets Layer (SSL) עלולות להיכשל לסירוגין או להיפסק לאחר זמן קצוב. ייתכן גם שייתקבלו אחת או יותר מהשגיאות הבאות:
-
'הבקשה בוטלה: לא הייתה אפשרות ליצור ערוץ SSL/TLS מאובטח'
-
שגיאה 0x8009030f
-
שגיאה שנרשמה ביומן האירועים של המערכת עבור ,SCHANNEL event 36887 עם קוד התראה 20 והתיאור, 'התקבלה התראה מכרעת מנקודת הקצה המרוחקת'. קוד ההתראה המכרעת שהוגדר בפרוטוקול TLS הוא 20'.
סיבה
עקב אכיפה הקשורה לאבטחה עבור CVE-2019-1318, כל העדכונים עבור גירסאות נתמכות של Windows שהופצו ב-8 באוקטובר, 2019 או מאוחר יותר אוכפים Extended Master Secret (EMS) לחידוש כפי שהוגדר על ידי RFC 7627, התקשרויות למכשירי ספקים חיצוניים ו- OSes שאינן תואמות עשויות לכלול בעיות או כשלים.
השלבים הבאים
לחיבורים בין שני מכשירים שבהם פועלת גירסה נתמכת של Windows לא אמורה להיות בעיה זו כאשר היא מעודכנת באופן מלא. אין עדכון עבור Windows הדרוש לבעיה זו. שינויים אלה נדרשים כדי לטפל בבעיית אבטחה ובתאימות אבטחה.
מערכת הפעלה של צד שלישי, מכשיר או שירות שאינם תומכים בחידוש EMS עשויים לכלול בעיות הקשורות לחיבורי TLS. עליך לפנות אל מנהל המערכת, ליצרן או לספק השירות שלך לקבלת עדכונים התומכים באופן מלא בחידוש EMS כמוגדר על ידי RFC 7627.
הערה Microsoft אינה ממליצה להפוך את EMS ללא זמינה. אם בעבר EMS הפכה לבלתי זמינה באופן מפורש, ניתן להפעיל אותה מחדש באמצעות קביעת ערכי מפתח הרישום הבאים:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
בשרת TLS: DisableServerExtendedMasterSecret: 0
בלקוח TLS: DisableClientExtendedMasterSecret: 0
מידע מתקדם עבור מנהלי מערכת
1. מכשיר Windows מנסה ליצור קשר Transport Layer Security (TLS) עם מכשיר אשר אינו תומך Extended Master Secret (EMS) כאשר TLS_DHE_* cipher suites בהתקשרות עלול לצור כשלים ביחס של בערך 1 מתוך 256 ניסיונות. כדי לצמצם את הבעיה, עליך ליישם את אחד מהפתרונות הבאים לפי סדר הופעתם:
-
הפוך את האפשרות של תמיכה בהרחבות Extend Master Secret (EMS) בעת ביצוע חיבורי TLS הן בצד הלקוח והן בצד מערכת ההפעלה של השרת.
-
עבור מערכות הפעלה שאינן תומכות ב- EMS, הסר את ערכות ההצפנה של TLS_DHE* מרשימת ערכת ההצפנה במערכת ההפעלה של TLS הלקוח. לקבלת הוראות אודות אופן הביצוע ב- Windows, ראה סדרי עדיפויות של ערכות צופן Schannel.
2. מערכות הפעלה אשר רק שולחות הודעות בקשה לאישור בלחיצת יד מלאה לאחר חידוש אינן תואמות RFC 2246 (TLS 1.0) או RFC 5246 (TLS 1.2) וייצרו כשל בכל התקשרות. החידוש אינו מובטח על-ידי מסמכי RFC, אך ניתן להשתמש בו לפי שיקול הדעת של TLS הלקוח והשרת. אם תיתקל בבעיה זו, יהיה עליך לפנות ליצרן או לספק השירות כדי לקבל עדכונים התואמים לתקני RFC.
3. שרתי FTP או לקוחות שאינם תואמים ל-rfc 2246 (tls 1.0 ) ו-rfc 5246 ( tls 1.2) עלולים שלא להעביר קבצים בלחיצת לחיצת יד או מקוצרת ולגרום לכל חיבור להיכשל. אם תיתקל בבעיה זו, יהיה עליך לפנות ליצרן או לספק השירות עבור עדכונים התואמים לתקני RFC.
עדכונים מושפעים
העדכונים המצטברים האחרונים (LCU) והאוספים החודשיים שפורסמו החל מה- 8 באוקטובר, 2019 עבור הפלטפורמות המושפעות עשויים לסבול מבעיה זו:
-
KB4517389 עדכון מצטבר עבור Windows 10, גירסה 1903.
-
KB4519338 עדכון מצטבר עבור Windows 10, גירסה 1809 ו- Windows Server 2019.
-
KB4520008 עדכון מצטבר עבור Windows 10, גירסה 1803.
-
KB4520004 עדכון מצטבר עבור Windows 10, גירסה 1709.
-
KB4520010 עדכון מצטבר עבור Windows 10, גירסה 1703.
-
KB4519998 עדכון מצטבר עבור Windows 10, גירסה 1607 ו- Windows Server 2016.
-
KB4520011 עדכון מצטבר עבור Windows 10, גירסה 1507.
-
אוסף עדכונים חודשי KB4520005 עבור Windows 8.1 ו- Windows Server 2012 R2.
-
אוסף עדכונים חודשי KB4520007 עבור Windows Server 2012.
-
אוסף עדכונים חודשי KB4519976 עבור Windows 7 SP1 ו- Windows Server 2008 R2 SP1
-
אוסף עדכונים חודשי KB4520002 עבור Windows Server 2008 SP2
עדכוני האבטחה בלבד הבאים שפורסמו ב- 8 באוקטובר, 2019 עבור הפלטפורמות המושפעות עשויים לסבול מבעיה זו:
-
עדכוני אבטחה בלבד KB4519990 עבור Windows 8.1 ו- Windows Server 2012 R2.
-
עדכון אבטחה בלבד KB4519985 עבור Windows Server 2012 ו- Windows Embedded 8 Standard.
-
עדכון אבטחה בלבד KB4520003 עבור Windows 7 SP1 ו- Windows Server 2008 R2 SP1
-
עדכוני אבטחה בלבד KB4520009 עבור Windows Server 2008 SP2
