Połączenia TLS (Transport Layer Security) mogą kończyć się niepowodzeniem lub może następować przekroczenie limitu czasu podczas nawiązywania połączenia lub próby wznowienia połączenia

Dotyczy: Windows 10, version 1903Windows 10, version 1809Windows Server 2019, all versions

Objawy


Próba nawiązywania połączenia w ramach protokółu TLS (Transport Layer Security) może kończyć się niepowodzeniem lub może nastąpić przekroczenie limitu czasu. Może również zostać wyświetlony co najmniej jeden z następujących błędów:

  • „The request was aborted: Could not create SSL/TLS secure Channel”
  •  error 0x8009030f
  • Błąd zarejestrowany w dzienniku zdarzeń systemu dla zdarzenia SCHANNEL 36887 z kodem alertu 20 i opisem: „Odebrano alert krytyczny ze zdalnego punktu końcowego. Kod alertu krytycznego zdefiniowany przez protokół TLS to 20​”.

Przyczyna


Z powodu wymuszenia zabezpieczeń związanego z luką CVE-2019-1318 wszystkie aktualizacje obsługiwanych wersji systemu Windows wydane 8 października 2019 r. i nowsze wymuszają użycie rozszerzonego głównego klucza tajnego (EMS) podczas wznawiania połączenia zgodnie z definicją w dokumencie RFC 7627. Połączenia z urządzeniami innych firm i niezgodnymi systemami operacyjnymi mogą się nie powieść lub mogą w ich przypadku występować problemy.

Następne kroki


Problem nie powinien dotyczyć połączeń między dwoma w pełni zaktualizowanymi urządzeniami z którąkolwiek z obsługiwanych wersji systemu Windows. Ten problem nie wymaga aktualizacji systemu Windows. Te zmiany są wymagane w celu usunięcia problemu bezpieczeństwa i na potrzeby zapewnienia zgodności z zabezpieczeniami.

Wszystkie systemy operacyjne, urządzenia lub usługi innych firm, które nie obsługują wznawiania EMS, mogą wykazywać problemy z połączeniami TLS. Należy skontaktować się z administratorem, producentem lub dostawcą usług, aby uzyskać aktualizacje w pełni obsługujące wznawianie EMS zgodnie z definicją w dokumencie RFC 7627.

Uwaga Firma Microsoft nie zaleca wyłączania usług EMS. Jeśli usługi EMS zostały wcześniej jawnie wyłączone, można je ponownie włączyć, ustawiając następujące wartości kluczy rejestru:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

Na serwerze TLS: DisableServerExtendedMasterSecret: 0
Na kliencie TLS: DisableClientExtendedMasterSecret: 0

Zaawansowane informacje dla administratorów


1. Nawiązanie połączenia przez urządzenie z systemem Windows w ramach protokołu TLS (Transport Layer Security) z urządzeniem nieobsługującym rozszerzonego głównego klucza tajnego (EMS), kiedy pakiety szyfrowania TLS_DHE_* są negocjowane, może sporadycznie się nie powieść (około 1 raz na 256 prób). Aby ograniczyć ten problem, zastosuj jedno z wymienionych rozwiązań w dowolnej kolejności:

  • Włącz obsługę rozszerzonego głównego klucza tajnego (EMS) podczas wykonywania połączeń TLS zarówno na kliencie, jak i w systemie operacyjnym serwera. 
  • W przypadku systemów operacyjnych, które nie obsługują usług EMS, usuń pakiety szyfrowania TLS_DHE_* z listy pakietów szyfrowania w systemie operacyjnym urządzenia klienckiego TLS. Aby uzyskać instrukcje, jak to zrobić w systemie Windows, zobacz Ustawianie priorytetów mechanizmów szyfrowania Schannel.


2. Systemy operacyjne, które wysyłają komunikaty żądań certyfikatów jedynie w ramach operacji pełnego uzgadniania po wznowieniu, nie są zgodne ze standardem RFC 2246 (TLS 1.0) ani RFC 5246 (TLS 1.2). W ich przypadku każda próba nawiązania połączenia skończy się niepowodzeniem. Wznowienie nie jest gwarantowane przez standardy RFC, ale taka próba może zostać podjęta przez serwer i klienta TLS. Jeśli ten problem wystąpi, należy skontaktować się z producentem lub dostawcą usług w celu uzyskania aktualizacji zgodnych ze standardami RFC.

3. Serwery FTP lub urządzenia klienckie niezgodne ze standardem RFC 2246 (TLS 1.0) i RFC 5246 (TLS 1.2) mogą nie przetransferować plików po wznowieniu lub skróconym uzgadnianiu, a każde z połączeń zakończy się niepowodzeniem. Jeśli ten problem wystąpi, należy skontaktować się z producentem lub dostawcą usług w celu uzyskania aktualizacji zgodnych ze standardami RFC.

Aktualizacje, których dotyczy problem


Ten problem może występować na platformach, których dotyczy problem, w każdej najnowszej aktualizacji zbiorczej (LCU) i miesięcznym pakiecie zbiorczym aktualizacji wydanych 8 października 2019 r. lub później:

  • KB4517389 — LCU dla systemu Windows 10, wersja 1903.
  • KB4519338 — LCU dla systemów Windows 10, wersja 1809 i Windows Server 2019.
  • KB4520008 — LCU dla systemu Windows 10, wersja 1803.
  • KB4520004 — LCU dla systemu Windows 10, wersja 1709.
  • KB4520010 — LCU dla systemu Windows 10, wersja 1703.
  • KB4519998 — LCU dla systemów Windows 10, wersja 1607 i Windows Server 2016.
  • KB4520011 — LCU dla systemu Windows 10, wersja 1507.
  • KB4520005 — miesięczny pakiet zbiorczy aktualizacji dla systemów Windows 8.1 i Windows Server 2012 R2.
  • KB4520007 — miesięczny pakiet zbiorczy aktualizacji dla systemów Windows Server 2012.
  • KB4519976 — miesięczny pakiet zbiorczy aktualizacji dla systemów Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1.
  • KB4520002 — miesięczny pakiet zbiorczy aktualizacji dla systemów Windows Server 2008 z dodatkiem SP2.

Ten problem może występować w następującej aktualizacji samych zabezpieczeń wydanej 8 października 2019 r. na platformach, których dotyczy problem:

  • KB4519990 — aktualizacja samych zabezpieczeń dla systemów Windows 8.1 i Windows Server 2012 R2.
  • KB4519985 — aktualizacja samych zabezpieczeń dla systemów Windows Server 2012 i Windows Embedded 8 Standard.
  • KB4520003 — aktualizacja samych zabezpieczeń dla systemów Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1
  • KB4520009 — aktualizacja samych zabezpieczeń dla systemów Windows Server 2008 z dodatkiem SP2