A Transport Layer Security (TLS) kapcsolatok meghiúsulhatnak vagy időtúllépést okozhatnak csatlakozáskor vagy folytatási kísérletkor

Tünetek

A csatlakozáskor előfordulhat, hogy a Transport Layer Security (TLS) sikertelen vagy időtúllépést okozhat. Előfordulhat, hogy egy vagy több is jelentkezik a következő hibák közül:

  • „A kérelem megszakadt: nem sikerült SSL/TLS biztonságos csatornát létrehozni”

  • 0x8009030f hiba

  • A rendszer SCHANNEL eseménynaplójában a 36887-es eseményhez 20-as riasztási kóddal hiba jelentkezett, „Végzetes riasztás érkezett a távoli végponttól”. A TLS protokoll a következő végzetes riasztási kódot állapította meg: 20.​”

Oka

CVE-2019-1318-hoz kapcsolódó biztonsági kényszerítés miatt a 2019. október 8-án vagy később kiadott Windows támogatott verzióinak minden frissítése kényszeríti a kiterjesztett főkulcs (EMS) folytatását az RFC 7627 által meghatározott módon. A Harmadik féltől származó eszközökhöz és a nem kompatibilis operációs rendszerekhez való csatlakozás problémákba ütközhet, vagy meghiúsulhat.

Következő lépések

A Windows bármely támogatott verzióját futtató két eszköz közötti kapcsolat esetén ez a probléma nem jelentkezik, amikor naprakészek. A probléma kapcsán nincs szükség Windows-frissítésre. Ezek a módosítások egy biztonsági probléma javításához és a biztonsági megfelelőséghez szükségesek.

Bármely harmadik féltől származó operációs rendszer, eszköz vagy szolgáltatás, amely nem támogatja az EMS folytatását, TLS-kapcsolatokkal kapcsolatos problémákat mutathat. Az RFC 7627 által meghatározott frissítésekért, amelyek teljes mértékben támogatják az EMS folytatását, lépjen kapcsolatba a rendszergazdával, a gyártóval vagy a szolgáltatóval.

Megjegyzés A Microsoft nem javasolja az EMS letiltását. Ha az EMS előzőleg kifejezetten le lett tiltva, a következő beállításkulcs-értékek beállításával újból engedélyezheti:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

A TLS-kiszolgálón: DisableServerExtendedMasterSecret: 0
A TLS-kliensen: DisableClientExtendedMasterSecret: 0

Speciális információk a rendszergazdák számára

1. Egy windowsos eszköz, amely Transport Layer Security (TLS)-kapcsolatot próbál meg létrehozni egy olyan eszközhöz, amely nem támogatja a kiterjesztett főkulcsot (EMS) a TLS_DHE_* rejtjelcsomagok egyeztetése során 256 kísérletből kb. 1 alkalommal. A probléma enyhítése érdekében a következő megoldások egyikét kell alkalmazni az Önnek megfelelő sorrendben:

  • Engedélyezze a kiterjesztett főkulcs (EMS) kiterjesztések támogatását, amikor TLS-kapcsolatokat hoz létre az ügyfél és a kiszolgáló operációs rendszerén.

  • Az EMS-t nem támogató operációs rendszerek esetén távolítsa el a TLS_DHE_* rejtjelcsomagokat a TLS-klienseszköz operációs rendszerének rejtjelcsomaglistájából. A Schannel-rejtjelcsomagok rangsorolása témakörben találja az utasításokat a végrehajtáshoz Windows rendszerben.


2. Azok az operációs rendszerek, amelyek csak tanúsítványkérelmi üzeneteket küldenek teljes kézfogással egy olyan munkamenetet követően, amely nem kompatibilis az RFC 2246 (TLS 1.0) vagy RFC 5246 (TLS 1.2) kiterjesztéssel, és minden egyes csatlakozás meghiúsulását okozza. A munkamenetet a szabványjavaslatok nem garantálják, de a TLS-ügyfél és -kiszolgáló megítélése szerint is használható. Ha ilyen problémát tapasztal, fel kell vennie a kapcsolatot a gyártóval vagy a szolgáltatóval azokért a frissítésekért, amelyek megfelelnek a szabványjavaslatok követelményeinek.

3. FTP-kiszolgálók vagy -kliensek, amelyek nem kompatibilisek az RFC 2246 (TLS 1.0) és az RFC 5246 (TLS 1.2) kiterjesztésekkel, előfordulhat, hogy nem tudnak fájlokat továbbítani a munkamenetben vagy a rövidített kézfogás során, így minden kapcsolat megszakadását okozzák. Ha ilyen problémát tapasztal, fel kell vennie a kapcsolatot a gyártóval vagy a szolgáltatóval azokért a frissítésekért, amelyek megfelelnek a szabványjavaslatok követelményeinek.

Érintett frissítések

Bármely legújabb összegző frissítésben (LCU) és a 2019. október 8-án vagy később, az érintett platformokra kiadott havi összegző frissítésekben fordulhat elő ez a probléma:

  • KB4517389 LCU a Windows 10 1903-as verziójára vonatkozóan.

  • KB4519338 LCU a Windows 10 1809-es verziójához és a Windows Server 2019-hoz.

  • KB4520008 LCU a Windows 10 1803-as verziójára vonatkozóan.

  • KB4520004 LCU a Windows 10 1709-as verziójára vonatkozóan.

  • KB4520010 LCU a Windows 10 1703-as verziójára vonatkozóan.

  • KB4519998 LCU a Windows 10 1607-es verziójához és a Windows Server 2016-hoz.

  • KB4520011 LCU a Windows 10 1507-as verziójára vonatkozóan.

  • KB4520005 Havi kumulatív frissítés a Windows 8.1-hez és a Windows Server 2012 R2-höz.

  • KB4520007 Havi kumulatív frissítés a Windows Server 2012-höz.

  • KB4519976 Havi kumulatív frissítés a Windows 7 SP1-hez és a Windows Server 2008 R2 SP1-hez.

  • KB4520002 Havi kumulatív frissítés a Windows Server 2008 SP2-höz

A következő 2019. október 8-án, az érintett platformokra kiadott csak biztonsági frissítésekben fordulhat elő ez a probléma:

  • KB4519990 csak biztonsági frissítés a Windows 8.1-hez és a Windows Server 2012 R2-höz.

  • KB4519985 Csak biztonsági frissítés a Windows Server 2012-höz és a Windows Embedded 8 Standard verzióhoz.

  • KB4520003 Csak biztonsági frissítés a Windows 7 SP1-hez és a Windows Server 2008 R2 SP1-hez

  • KB4520009 Csak biztonsági frissítés a Windows Server 2008 SP2-höz

További segítségre van szüksége?

Ismeretek bővítése
Oktatóanyagok megismerése
Új szolgáltatások listájának lekérése
Csatlakozás a Microsoft Insiderek

Hasznos volt az információ?

Köszönjük visszajelzését!

Köszönjük visszajelzését. Jobbnak látjuk, ha az Office egyik támogatási szakemberéhez irányítjuk.

×