徵狀
嘗試連線時,傳輸層安全 (TLS) 和安全通訊端層 (SSL) 可能會間歇性失敗或逾時。 您可能還會收到一個或多個以下錯誤:
-
「請求已中止: 無法建立 SSL/TLS 安全通道」
-
錯誤 0x8009030f
-
SCHANNEL 事件 36887 的系統事件日誌中記錄的錯誤,警告代碼為 20,並說明「從遠端終結點收到致命警報。 TLS 協定定義的致命警報代碼為 20。」
原因
由於 CVE-2019-1318 的安全相關實施,2019 年 10 月 8 日或更高版本發表的 Windows 支援版本的所有更新都強制實施 RFC 7627 定義的擴展主金鑰 (EMS) 以恢復。 連線至不合規的協力廠商裝置和作業系統可能會出現問題或失敗。
後續步驟
完全更新后,運行任何受支援的 Windows 版本的兩個裝置之間的連線不應出現此問題。 Windows 不需針對這個問題安裝更新。 需要這些變更來解決安全問題和安全合規性。
不支援 EMS 恢復的任何協力廠商作業系統、裝置或服務都可能會遇到與 TLS 連線相關的問題。 您應該聯繫管理員、製造商或服務提供者以獲取完全支援 RFC 7627 定義的 EMS 恢復的更新。
注意 Microsoft 不建議停用 EMS。 如果 EMS 先前顯示為停用,則可以通過設定以下登錄機碼值來重新啟用它:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
On TLS Server: DisableServerExtendedMasterSecret: 0
On TLS Client: DisableClientExtendedMasterSecret: 0
管理員的進階資訊
1. 在協商 TLS_DHE_* 密碼套件時,嘗試與不支援擴展主金鑰 (EMS) 的裝置進行傳輸層安全 (TLS) 連線的 Windows 裝置可能會間歇性地失敗,頻率大約為 256 次嘗試中出現 1 次。 要緩解此問題,應按偏好順序實施列出的以下解決方案之一:
-
在用戶端和伺服器作業系統上執行 TLS 連線時啟用對擴展主金鑰 (EMS) 擴充的支援。
-
對於不支援 EMS 的作業系統,請從 TLS 用戶端裝置作業系統中的密碼套件清單中刪除 TLS_DHE_* 密碼套件。 有關如何在 Windows 上執行此操作的說明,請參閱排定 Schannel 密碼套件優先順序。
2. 恢復後,僅發送需求完全握手訊息的證書的作業系統若不符合 RFC 2246 (TLS 1.0) 或 RFC 5246 (TLS 1.2),將導致所有連線失敗。 恢復不由 RFC 保證,但可以由 TLS 用戶端和伺服器自行決定使用。 如果您遇到此問題,您需要聯繫製造商或服務提供者以獲取符合 RFC 標準的更新。
3. 不符合 RFC 2246 (TLS 1.0) 和 RFC 5246 (TLS 1.2) 的 FTP 伺服器或用戶端可能無法在恢復或縮寫握手時傳輸檔案,並導致每個連線失敗。 如果您遇到此問題,您需要聯繫製造商或服務提供者以獲取符合 RFC 標準的更新。
受影響的更新
2019 年 10 月 8 日以後針對受影響平台而發行的任何最新累積更新 (LCU) 和每月彙總套件可能會遇到此問題:
-
KB4517389 適用於 Windows 10 1903 版的 LCU。
-
KB4519338 適用於 Windows 10 1809 版和 Windows Server 2019 的 LCU。
-
KB4520008 適用於 Windows 10 1803 版的 LCU。
-
KB4520004 適用於 Windows 10 1709 版的 LCU。
-
KB4520010 適用於 Windows 10 1703 版的 LCU。
-
KB4519998 適用於 Windows 10 1607 版和 Windows Server 2016 的 LCU。
-
KB4520011 適用於 Windows 10 1507 版的 LCU。
-
KB4520005 適用於 Windows 8.1 和 Windows Server 2012 R2 的每月彙總套件。
-
KB4520007 適用於 Windows Server 2012 的每月彙總套件。
-
KB4519976 適用於 Windows 7 SP1 和 Windows Server 2008 R2 SP1 的每月彙總套件。
-
KB4520002 適用於 Windows Server 2008 SP2 的每月彙總套件
2019 年 10 月 8 日針對受影響平台而發行的下列僅限安全性更新可能會遇到此問題:
