症状
当尝试连接时,传输层安全 (TLS) 可能会失败或超时。 你可能还会收到一个或多个以下错误:
-
“请求已中止: 无法创建 SSL/TLS 安全通道”
-
错误 0x8009030f
-
在系统事件日志的 SCHANNEL 事件 36887 中记录了一个错误,警报代码为 20,并且描述为“从远程端点接收到致命警报。 TLS 协议定义的致命警报代码为 20。”
原因
由于针对 CVE-2019-1318 的安全相关强制措施,2019 年 10 月 8 日或其后发布的所有 Windows 受支持版本的更新都强制如 RFC 7627 所定义的“扩展主密钥”(EMS) 恢复。 连接到不兼容的第三方设备和操作系统可能会出现问题或失败。
后续步骤
在进行完全更新时,运行任何受支持版本的 Windows 的两个设备之间的连接不应出现此问题。 此问题不需要更新 Windows。 这些更改是解决安全问题和安全合规性所必需的。
任何不支持 EMS 恢复的第三方操作系统、设备或服务都可能出现与 TLS 连接相关的问题。 你应该联系你的管理员、制造商或服务提供商,以获取完全支持由 RFC 7627 定义的 EMS 恢复的更新。
注意,Microsoft 不建议禁用 EMS。 如果 EMS 以前被显式禁用,则可以通过设置以下注册表项值来重新启用它:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
On TLS Server: DisableServerExtendedMasterSecret: 0
On TLS Client: DisableClientExtendedMasterSecret: 0
管理员的高级信息
1. 当协商 TLS_DHE_* 密码套件时,尝试与不支持扩展主密钥 (EMS) 的设备进行传输层安全 (TLS) 连接的 Windows 设备可能会间歇性地在 256 次尝试中失败约 1 次。 若要缓解此问题,请按照优先顺序实施下列解决方案之一:
-
在客户端和服务器操作系统上执行 TLS 连接时,启用对扩展主密钥 (EMS) 扩展的支持。
-
对于不支持 EMS 的操作系统,请从 TLS 客户端设备的操作系统的密码套件列表中删除 TLS_DHE_* 密码套件。 有关如何在 Windows 上执行此操作的说明,请参阅优先处理 Schannel 密码套件。
2. 在恢复后仅以完全握手方式发送证书请求消息的操作系统不符合 RFC 2246 (TLS 1.0) 或 RFC 5246 (TLS 1.2),并将导致每个连接失败。 RFC 不保证能够恢复,但 TLS 客户端和服务器可自行决定使用恢复。 如果遇到此问题,则需要联系制造商或服务提供商,以获取符合 RFC 标准的更新。
3. 不符合 RFC 2246 (TLS 1.0) 和 RFC 5246 (TLS 1.2) 的 FTP 服务器或客户端可能无法在恢复或简短握手时传输文件,并将导致每个连接失败。 如果遇到此问题,则需要联系制造商或服务提供商,以获取符合 RFC 标准的更新。
受影响的更新
针对受影响平台 2019 年 10 月 8 日或之后发布的任何最新累积更新 (LCU) 和月度汇总可能会遇到此问题:
-
KB4517389 适用于 Windows 10 版本 1903 的 LCU。
-
KB4519338 适用于 Windows 10 版本 1809 和 Windows Server 2019 的 LCU。
-
KB4520008 适用于 Windows 10 版本 1803 的 LCU。
-
KB4520004 适用于 Windows 10 版本 1709 的 LCU。
-
KB4520010 适用于 Windows 10 版本 1703 的 LCU。
-
KB4519998 适用于 Windows 10 版本 1607 和 Windows Server 2016 的 LCU。
-
KB4520011 适用于 Windows 10 版本 1507 的 LCU。
-
KB4520005 适用于 Windows 8.1 和 Windows Server 2012 R2 的月度汇总。
-
KB4520007 适用于 Windows Server 2012 的月度汇总。
-
KB4519976 适用于 Windows 7 SP1 和 Windows Server 2008 R2 SP1 的月度汇总。
-
KB4520002 适用于 Windows Server 2008 SP2 的月度汇总
针对受影响平台 2019 年 10 月 8 日发布的以下仅安全更新可能会遇到此问题:
