Le connessioni TLS (Transport Layer Security) potrebbero restituire errori o un timeout mentre vengono stabilite o durante il tentativo di un ripristino

Sintomi

Durante il tentativo di connessione Transport Layer Security (TLS) potrebbe restituire errori o un timeout. Potresti inoltre ricevere uno o più dei seguenti errori:

• "La richiesta è stata annullata: non è stato possibile creare un canale sicuro SSL/TLS"

• Errore 0x8009030f

• Errore registrato nel registro eventi di sistema per l'evento 36887 SCHANNEL con il codice di avviso 20 e la descrizione "Ricevuto avviso di errore irreversibile dall'endpoint remoto. Codice dell'avviso di errore irreversibile definito dal protocollo TLS: 20​".

Causa

A causa dell'applicazione correlata alla sicurezza per CVE-2019-1318, tutti gli aggiornamenti per le versioni supportate di Windows rilasciati l'8 ottobre 2019 o in data successiva applicano Extended Master Secret per la ripresa come definito dalla RFC 7627. Le connessioni a dispositivi di terze parti e a sistemi operativi non conformi potrebbero essere soggette a problemi o errori.

Passaggi successivi

Le connessioni tra due dispositivi in cui è in esecuzione una qualsiasi versione supportata di Windows non devono presentare questo problema quando vengono completamente aggiornate. Per questo problema non è necessario alcun aggiornamento per Windows. Queste modifiche sono necessarie per risolvere un problema di sicurezza e garantire la conformità alla sicurezza.

Qualsiasi sistema operativo, dispositivo o servizio di terze parti che non supporti il ripristino EMS potrebbe presentare problemi relativi alle connessioni TLS. Dovrai contattare l'amministratore, il produttore o il provider di servizi per gli aggiornamenti in grado di supportare completamente il ripristino EMS come definito dalla RFC 7627.

Nota Microsoft sconsiglia di disabilitare EMS. Se EMS è stato disabilitato in modo esplicito in precedenza, può essere riabilitato impostando i seguenti valori per la chiave del Registro di sistema:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

On TLS Server: DisableServerExtendedMasterSecret: 0
On TLS Client: DisableClientExtendedMasterSecret: 0

Informazioni avanzate per gli amministratori

1. Un dispositivo Windows che tenta una connessione TLS (Transport Layer Security) a un dispositivo che non supporta Extended Master Secret (EMS) quando i pacchetti di crittografia TLS_DHE_* vengono negoziati potrebbe restituire errori in modo intermittente 1 volta ogni 256 tentativi. Per ovviare a questo problema, implementa una delle seguenti soluzioni elencate in ordine di preferenza:

• Abilita il supporto per le estensioni Extend Master Secret (EMS) quando esegui connessioni TLS sia nel sistema operativo client che server.

• Per i sistemi operativi che non supportano EMS, rimuovi i pacchetti di crittografia TLS_DHE_* dall'elenco nel sistema operativo del dispositivo client TLS. Per istruzioni su come eseguire questa operazione in Windows, vedi l'argomento relativo alla priorità dei pacchetti di crittografia Schannel.

2. I sistemi operativi che inviano solo messaggi di richiesta di certificato in un handshake completo dopo il ripristino non sono conformi alla RFC 2246 (TLS 1.0) o RFC 5246 (TLS 1.2) e causeranno la mancata riuscita di ciascuna connessione. Il ripristino non è garantito dalle RFC, ma può essere usato a discrezione del client e del server TLS. Se si verifica questo problema, dovrai contattare il produttore o il provider di servizi per aggiornamenti conformi agli standard RFC.

3. I server o i client FTP che non sono conformi alle RFC 2246 (TLS 1.0) e RFC 5246 (TLS 1.2) potrebbero non riuscire a trasferire i file in fase di ripristino o handshake abbreviato e causeranno la mancata riuscita di ogni connessione. Se si verifica questo problema, dovrai contattare il produttore o il provider di servizi per aggiornamenti conformi agli standard RFC.

Aggiornamenti interessati

Qualsiasi aggiornamento cumulativo più recente o gli aggiornamenti cumulativi mensili rilasciati a partire dall'8 ottobre 2019 per le piattaforme interessate potrebbero presentare questo problema:

• Aggiornamento cumulativo più recente KB4517389 per Windows 10, versione 1903.

• Aggiornamento cumulativo più recente KB4519338 per Windows 10, versione 1809 e Windows Server 2019.

• Aggiornamento cumulativo più recente KB4520008 per Windows 10, versione 1803.

• Aggiornamento cumulativo più recente KB4520004 per Windows 10, versione 1709.

• Aggiornamento cumulativo più recente KB4520010 per Windows 10, versione 1703.

• Aggiornamento cumulativo più recente KB4519998 per Windows 10, versione 1607 e Windows Server 2016.

• Aggiornamento cumulativo più recente KB4520011 per Windows 10, versione 1507.

• Aggiornamento cumulativo mensile KB4520005 per Windows 8.1 e Windows Server 2012 R2.

• Aggiornamento cumulativo mensile KB4520007 per Windows Server 2012.

• Aggiornamento cumulativo mensile KB4519976 per Windows 7 SP1 e Windows Server 2008 R2 SP1.

• Aggiornamento cumulativo mensile KB4520002 per Windows Server 2008 SP2.

I seguenti aggiornamenti solo della sicurezza rilasciati in data 8 ottobre 2019 per le piattaforme interessate potrebbero presentare questo problema:

• Aggiornamento solo della sicurezza KB4519990 per Windows 8.1 e Windows Server 2012 R2.

• Aggiornamento solo della sicurezza KB4519985 per Windows Server 2012 e Windows Embedded 8 Standard.

• Aggiornamento solo della sicurezza KB4520003 per Windows 7 SP1 e Windows Server 2008 R2 SP1.

• Aggiornamento solo della sicurezza KB4520009 per Windows Server 2008 SP2.