Симптоми
Когато се опитвате да се свържете, защита на транспортния слой (TLS) може да е неуспешна или времето на изчакване да изтече. Може също така да получите една или няколко от следните грешки:
-
„Искането е прекратено: не може да се създаде защитен канал SSL/TLS“
-
грешка 0x8009030f
-
Регистрирана грешка в регистъра на системните събития за събитие 36887 на SCHANNEL с код за известие 20 и описанието „Получено е фатално известие от отдалечената крайна точка. Протоколът TLS е дефинирал, че кодът на фаталното известие е 20."
Причина
Поради прилагане, свързано със защитата за CVE-2019-1318, всички актуализации за поддържани версии на Windows, издадени на 8 октомври 2019 г., прилагат разширена главна парола (EMS) за възобновяване, както е дефинирано от RFC 7627. Връзките с устройства на трети лица и ОС, които са несъвместими, може да срещнат проблеми или да са неуспешни.
Следващи стъпки
Връзките между две устройства, работещи с всяка поддържана версия на Windows, не би следвало да имат този проблем, когато са напълно актуализирани. Няма необходима актуализация за Windows за този проблем. Тези промени са необходими за адресиране на проблем със защитата и съответствие със защитата.
Всяка операционна система, устройство или услуга на трето лице, която не поддържа EMS възобновяване, може да демонстрира проблеми, свързани с TLS връзките. Трябва да се свържете с вашия администратор, производител или доставчик на услуги за актуализации, които напълно поддържат EMS възобновяване, както е дефинирано от RFC 7627.
Забележка Microsoft не препоръчва дезактивиране на EMS. Ако EMS преди е била изрично дезактивирана, може да бъде активирана повторно чрез задаване на следните стойности на ключ от системния регистър:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
На TLS сървър: DisableServerExtendedMasterSecret: 0 На TLS клиент: DisableClientExtendedMasterSecret: 0
Разширена информация за администратори
1. Устройство с Windows, което опитва връзка със защита на транспортния слой (TLS) към устройство, което не поддържа разширена главна парола (EMS), когато се договарят комплекти за шифроване на TLS_DHE_*, може периодично да бъде неуспешно приблизително всеки 1 от 256 опита. За да смекчите този проблем, приложете едно от следните решения, изброени в реда на предпочитане:
-
Разрешете поддръжката за разширения за разширена главна парола (EMS) при извършване на TLS връзки както на операционната система на клиента, така и на тази на сървъра.
-
За операционни системи, които не поддържат EMS, премахнете комплекта за шифроване TLS_DHE_* от списъка с комплекти за шифроване в операционната система на устройството на TLS клиента. За инструкции как да направите това в Windows вижте Приоритизиране на комплекти за шифроване на защитени канали.
RFC 2246 (TLS 1.0) или RFC 5246 (TLS 1.2) и поради това всяка връзка ще е неуспешна. Възобновяването не е гарантирано от RFC, но може да се използва по усмотрение на TLS клиента и сървъра. Ако срещнете този проблем, ще трябва да се свържете с производителя или доставчика на услуги за актуализации, които отговарят на стандартите на RFC. 3. FTP сървъри или клиенти, които не отговарят на условията на RFC 2246 (TLS 1.0) и RFC 5246 (TLS 1.2) може да не успеят да прехвърлят файлове на възобновяване или съкратено ръкостискане и ще накарат всяка връзка да бъде неуспешна. Ако срещнете този проблем, ще трябва да се свържете с производителя или доставчика на услуги за актуализации, които отговарят на стандартите на RFC.
2. Операционни системи, които изпращат само съобщения за искане на сертификат в пълно ръкостискане след възобновяване, не са съвместими сЗасегнати актуализации
Най-нови кумулативни актуализации (LCU) или месечни сборни пакети, издадени на 8 октомври 2019 г. или по-късно за засегнатите платформи, може да изпитат този проблем:
-
KB4517389 LCU за Windows 10, версия 1903.
-
KB4519338 LCU за Windows 10, версия 1809 и Windows Server 2019.
-
KB4520008 LCU за Windows 10, версия 1803.
-
KB4520004 LCU за Windows 10, версия 1709.
-
KB4520010 LCU за Windows 10, версия 1703.
-
KB4519998 LCU за Windows 10, версия 1607 и Windows Server 2016.
-
KB4520011 LCU за Windows 10, версия 1507.
-
KB4520005 Месечен сборен пакет за актуализация за Windows 8.1 и Windows Server 2012 R2.
-
KB4520007 Месечен сборен пакет за актуализация за Windows Server 2012.
-
KB4519976 Месечен сборен пакет за актуализация за Windows 7 SP1 и Windows Server 2008 R2 SP1.
-
KB4520002 Месечен сборен пакет за актуализация за Windows Server 2008 SP2
Следните актуализации само за защита, издадени на 8 октомври 2019 г., за засегнатите платформи може да имат този проблем:
-
KB4519990 Актуализация само за защита за Windows 8.1 и Windows Server 2012 R2.
-
KB4519985 Актуализация само за защита за Windows Server 2012 и Windows Embedded 8 Standard.
-
KB4520003 Актуализация само за защита за Windows 7 SP1 и Windows Server 2008 R2 SP1
-
KB4520009 Актуализация само за защитата за Windows Server 2008 SP2