Подключения TLS могут завершаться сбоем или тайм-аутом при соединении или попытке возобновления

Применимо к: Windows 10, version 1903Windows 10, version 1809Windows Server 2019, all versions

Проблемы


При попытке соединения может происходить сбой или тайм-аут TLS. Вы также можете получить одну или несколько из указанных ниже ошибок.

  • "Запрос прерван: не удалось создать безопасный канал SSL/TLS"
  •  Ошибка 0x8009030f
  • Ошибка, зарегистрированная в журнале системных событий для события SCHANNEL 36887 с кодом предупреждения 20 и описанием, "С удаленной конечной точки получено оповещение о неустранимой ошибке. Определенный в протоколе TLS код оповещения о неустранимой ошибке: 20".​

Причина


В связи с принудительным применением CVE-2019-1318 из соображений безопасности все обновления для поддерживаемых версий Windows, выпущенные 8 октября 2019 г. или позже, применяют Extended Master Secret (EMS) для возобновления, как определено в RFC 7627. При подключении к сторонним устройствам и ОС, которые не соответствуют требованиям, могут возникать проблемы и сбои.

Дальнейшие действия


После полного обновления соединения между двумя устройствами под управлением любой поддерживаемой версии Windows не должны иметь этой ошибки. Для этой ошибки обновление Windows не требуется. Эти изменения необходимы для устранения неполадок безопасности и соответствия требованиям безопасности.

Все сторонние операционные системы, устройства и службы, которые не поддерживают возобновление EMS, могут проявлять проблемы, связанные с подключениями TLS. Обратитесь к администратору, изготовителю или поставщику услуг за обновлениями, которые полностью поддерживают возобновление EMS, как определено в RFC 7627.

Примечание. Корпорация Майкрософт не рекомендует отключать EMS. Если служба EMS была явным образом отключена ранее, ее можно снова включить, задав следующие значения в разделе реестра:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

На сервере TLS — DisableServerExtendedMasterSecret: 0
На клиенте TLS — DisableClientExtendedMasterSecret: 0

Дополнительные сведения для администраторов


1. На устройстве с Windows, которое пытается установить TLS-подключение к устройству, которое не поддерживает Extended Master Secret (EMS), при согласовании комплектов шифров TLS_DHE_* может иногда возникать сбой, приблизительно в 1 попытке из 256. Чтобы устранить эту ошибку, реализуйте одно из следующих решений, указанных в порядке предпочтения.

  • Включите поддержку расширений Extend Master Secret (EMS) при выполнении TLS-подключений как в клиентской, так и в серверной операционной системе. 


2. Операционные системы, которые отправляют сообщения запроса сертификата только в режиме полного подтверждения после возобновления, не соответствуют стандарту RFC 2246 (TLS 1.0) или RFC 5246 (TLS 1.2) и приводят к сбою каждого подключения. Возобновление не гарантируется в соответствии со спецификацией RFC, но оно может быть использовано по усмотрению клиента и сервера TLS. При возникновении этой проблемы необходимо обратиться к производителю или поставщику услуг за обновлениями, которые соответствуют стандартам RFC.

3. FTP-серверы или клиенты, не совместимые с RFC 2246 (TLS 1.0) и RFC 5246 (TLS 1.2), могут не передавать файлы при возобновлении или сокращенном подтверждении, и это приведет к сбою каждого подключения. При возникновении этой проблемы необходимо обратиться к производителю или поставщику услуг за обновлениями, которые соответствуют стандартам RFC.

Затронутые обновления


Эта проблема может возникать для любого последнего накопительного обновления (LCU) или ежемесячных накопительных пакетов, выпущенных 8 октября 2019 года или позже, для затронутых платформ:

  • KB4517389 LCU для Windows 10, версия 1903.
  • KB4519338 LCU для Windows 10 версии 1809 и Windows Server 2019.
  • KB4520008 LCU для Windows 10, версия 1803.
  • KB4520004 LCU для Windows 10, версия 1709.
  • KB4520010 LCU для Windows 10, версия 1703.
  • KB4519998 LCU для Windows 10 версии 1607 и Windows Server 2016.
  • KB4520011 LCU для Windows 10, версия 1507.
  • KB4520005 Ежемесячный накопительный пакет для Windows 8.1 и Windows Server 2012 R2.
  • KB4520007 Ежемесячный накопительный пакет обновления для Windows Server 2012.
  • KB4519976 Ежемесячный накопительный пакет для Windows 7 SP1 и Windows Server 2008 R2 SP1.
  • KB4520002 Ежемесячный накопительный пакет обновления для Windows Server 2008 SP2

Эта проблема может возникать для следующих обновлений системы безопасности, выпущенных 8 октября 2019 года, для затронутых платформ:

  • KB4519990 Обновление для системы безопасности для Windows 8.1 и Windows Server 2012 R2.
  • KB4519985 Обновление для системы безопасности для Windows Server 2012 и Windows Embedded 8 Standard.
  • KB4520003 Обновление для системы безопасности для Windows 7 SP1 и Windows Server 2008 R2 SP1
  • KB4520009 Обновление для системы безопасности Windows Server 2008 SP2