Povezave varnosti na prenosni plasti (TLS) pri vzpostavljanju povezave ne uspejo ali njihova časovna omejitev poteče ali poskušajo s ponovnim nadaljevanjem

Velja za: Windows 10, version 1903, all editionsWindows 10, version 1809, all editionsWindows Server 2019, all editions

Simptomi


Pri vzpostavljanju povezave lahko varnost na prenosni plasti (TLS) ne uspe ali njena časovna omejitev poteče. Morda boste prejeli tudi eno ali več spodnjih napak:

  • »Zahteva je bila preklicana: varnega kanala SSL/TLS ni bilo mogoče ustvariti«
  •  napaka 0x8009030f
  • Napaka, zabeležena v dnevniku sistemskih dogodkov za dogodek SCHANNEL 36887 z opozorilno kodo 20 in opisom : »Iz oddaljene končne točke je prispelo usodno opozorilo. Definirana opozorilna koda protokola TLS je 20.​«

Vzrok


Zaradi varnostnega uvajanja za CVE-2019-1318, vse posodobitve za podprte različice sistema Windows, izdane 8. oktobra 2019 ali kasneje, uvajajo Extended Master Secret (EMS) za ponovno nadaljevanje, kot določa RFC 7627.  Povezave z napravami in operacijskimi sistemi drugih izdelovalcev, ki niso skladni, lahko naletijo na težave ali ne uspejo.

Naslednji koraki


Pri povezavah med dvema napravama s katero koli podprto različico sistema Windows do teh težav ne bi smelo priti, če sta v celoti posodobljeni. Za to težavo posodobitev za sistem Windows ni na voljo. Te spremembe so potrebne za obravnavo varnostne težave in varnostne skladnosti.

Kateri koli operacijski sistem, naprava ali storitev drugih ponudnikov, ki ne podpira nadaljevanja EMS, lahko ima to težavo, povezano s povezavami TLS.  Obrnite se na vašega skrbnika, proizvajalca ali ponudnika storitev, da pridobite posodobitve, ki v celoti podpirajo nadaljevanje EMS, kot ga določa RFC 7627.

Opomba Microsoft ne priporoča onemogočanja EMS. Če je bil EMS predhodno izrecno onemogočen, ga lahko ponovno omogočite tako, da nastavite naslednje vrednosti registrskega ključa:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

V strežniku TLS: DisableServerExtendedMasterSecret: 0
V odjemalcu TLS: DisableClientExtendedMasterSecret: 0

Dodatne informacije za skrbnike


1. Naprava s sistemom Windows, ki poskuša s povezavo varnostjo na prenosni plasti (TLS) v napravi, ki ne podpira Extended Master Secret (EMS), ko so sprejete zbirke šifer TLS_DHE_*, v 1 od 265 poskusov občasno ne uspe. Če želite to težavo ublažiti, uporabite eno od spodnjih rešitev, navedenih po prednostnem vrstnem redu:

  • Pri vzpostavljanju povezav TLS v odjemalcu in strežniškem operacijskem sistemu omogočite podporo za razširitve Extend Master Secret (EMS). 
  • Za operacijske sisteme, ki ne podpirajo EMS, odstranite zbirke šifer TLS_DHE* s seznama zbirk šifer v operacijskem sistemu odjemalske naprave TLS. Navodila o tem, kako to naredite v sistemu Windows, najdete v Določanje prioritet za zbirke šifer varnih kanalov.


2. Operacijski sistemi, ki pošiljajo le sporočila z zahtevami za potrdilo v polnem rokovanju po izvedbi nadaljevanja, niso skladni z RFC 2246 (TLS 1.0) ali RFC 5246 (TLS 1.2) in bodo povzročili, da vsaka povezava ne uspe. RFC-ji ne zagotavljajo nadaljevanja, lahko pa se za uporabo odločita odjemalec in strežnik TLS. Če naletite na to težavo, se boste morali obrniti na proizvajalca ali ponudnika storitev, da pridobite posodobitve, ki so skladne s standardi RFC.

3. Strežniki ali odjemalci FTP, ki niso skladni z RFC 2246 (TLS 1.0) in RFC 5246 (TLS 1.2), z nadaljevanjem ali skrajšanim rokovanjem morda ne bodo prenesli datotek in bodo povzročili, da vsaka povezava ne uspe. Če naletite na to težavo, se boste morali obrniti na proizvajalca ali ponudnika storitev, da pridobite posodobitve, ki so skladne s standardi RFC.

Prizadete posodobitve


Do te težave lahko pride v katerikoli naslednji najnovejši zbirni posodobitvi (LCU) ali mesečnih paketih posodobitev, ki so bile izdane 8. oktobra 2019 ali kasneje za prizadete platforme:

  • KB4517389 LCU za Windows 10, različica 1903.
  • KB4519338 LCU za Windows 10, različica 1809, in Windows Server 2019.
  • KB4520008 LCU za Windows 10, različica 1803.
  • KB4520004 LCU za Windows 10, različica 1709.
  • KB4520010 LCU za Windows 10, različica 1703.
  • KB4519998 LCU za Windows 10, različica 1607, in Windows Server 2016.
  • KB4520011 LCU za Windows 10, različica 1507.
  • KB4520005 Mesečni paket posodobitev za Windows 8.1 in Windows Server 2012 R2.
  • KB4520007 Mesečni paket posodobitev za Windows Server 2012.
  • KB4519976 Mesečni paket posodobitev za Windows 7 s servisnim paketom SP1 in Windows Server 2008 R2 s servisnim paketom SP1.
  • KB4520002 Mesečni paket posodobitev za Windows Server 2008 s servisnim paketom SP2

Do te težave lahko pride v varnostnih posodobitvah, ki so bile izdane 8. oktobra 2019 za prizadete platforme:

  • KB4519990 Samo varnostna posodobitev za Windows 8.1 in Windows Server 2012 R2.
  • KB4519985 Samo varnostna posodobitev za Windows Server 2012 in Windows Embedded 8 Standard.
  • KB4520003 Samo varnostna posodobitev za Windows 7 s servisnim paketom SP1 in Windows Server 2008 R2 s servisnim paketom SP1
  • KB4520009 Samo varnostna posodobitev za Windows Server 2008 s servisnim paketom SP2