Συμπτώματα
Κατά την προσπάθεια σύνδεσης, η ασφάλεια επιπέδου μεταφοράς (TLS) ενδέχεται να παρουσιάζει σφάλμα ή λήξη χρονικού ορίου. Ενδέχεται επίσης να λάβετε ένα ή περισσότερα από τα παρακάτω σφάλματα:
-
"Η αίτηση ματαιώθηκε: Δεν ήταν δυνατή η δημιουργία ασφαλούς καναλιού SSL/TLS"
-
σφάλμα 0x8009030f
-
Παρουσιάστηκε σφάλμα στο αρχείο καταγραφής συμβάντων συστήματος για το συμβάν SCHANNEL 36887 με κωδικό ειδοποίησης 20 και την περιγραφή, "Ελήφθη μια ειδοποίηση για ανεπανόρθωτο σφάλμα από το απομακρυσμένο τελικό σημείο. Ο κωδικός ειδοποίησης για ανεπανόρθωτο σφάλμα που ορίζεται με πρωτόκολλο TLS είναι 20."
Αιτία
Εξαιτίας μιας επιβολής που σχετίζεται με την ασφάλεια για το CVE-2019-1318, όλες οι ενημερώσεις για τις υποστηριζόμενες εκδόσεις των Windows που κυκλοφόρησαν στις 8 Οκτωβρίου 2019 ή μεταγενέστερη ημερομηνία επιβάλλουν το Extended Master Secret (EMS) για συνέχιση όπως καθορίζεται από το RFC 7627. Οι συνδέσεις σε μη συμβατές συσκευές και λειτουργικά συστήματα τρίτων μπορεί να παρουσιάζουν προβλήματα ή σφάλματα.
Επόμενα βήματα
Οι συνδέσεις μεταξύ δύο συσκευών που λειτουργούν με οποιαδήποτε υποστηριζόμενη έκδοση των Windows δεν θα πρέπει να έχουν αυτό το πρόβλημα όταν ενημερώνονται πλήρως. Δεν απαιτείται ενημέρωση των Windows για αυτό το πρόβλημα. Αυτές οι αλλαγές απαιτούνται για την αντιμετώπιση ενός προβλήματος ασφάλειας και ζητημάτων συμμόρφωσης ασφάλειας.
Οποιοδήποτε λειτουργικό σύστημα, συσκευή ή υπηρεσία τρίτου παρόχου που δεν υποστηρίζει συνέχιση EMS μπορεί να παρουσιάσει προβλήματα που σχετίζονται με τις συνδέσεις TLS. Θα πρέπει να επικοινωνήσετε με τον διαχειριστή, τον κατασκευαστή ή την υπηρεσία παροχής για ενημερώσεις που υποστηρίζουν πλήρως τη συνέχιση EMS, όπως καθορίζεται από το RFC 7627.
Σημείωση Η Microsoft δεν συνιστά την απενεργοποίηση του EMS. Αν το EMS είχε απενεργοποιηθεί ρητά προηγουμένως, μπορεί να ενεργοποιηθεί ξανά ορίζοντας τις ακόλουθες τιμές κλειδιού μητρώου:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
Στον διακομιστή TLS: DisableServerExtendedMasterSecret: 0 Στον πελάτη TLS: DisableClientExtendedMasterSecret: 0
Σύνθετες πληροφορίες για διαχειριστές
1. Μια συσκευή Windows που επιχειρεί την εκτέλεση μιας ασφάλειας επιπέδου μεταφοράς (1) σε μια συσκευή που δεν υποστηρίζει το Extended Master Secret (EMS) όταν γίνεται διαπραγμάτευση των προγραμμάτων κρυπτογράφησης TLS_DHE_* μπορεί να αποτυγχάνει περιστασιακά στη 1 περίπου από τις 256 προσπάθειες. Για να μετριάσετε αυτό το πρόβλημα, εφαρμόστε μία από τις ακόλουθες λύσεις που αναφέρονται κατά σειρά προτίμησης:
-
Ενεργοποιήστε την υποστήριξη για επεκτάσεις Extend Master Secret (EMS) κατά την εκτέλεση συνδέσεων TLS τόσο στο λειτουργικό σύστημα του υπολογιστή-πελάτη όσο και του διακομιστή.
-
Για λειτουργικά συστήματα που δεν υποστηρίζουν το EMS, καταργήστε τα προγράμματα κρυπτογράφησης TLS_DHE_ * από τη λίστα των προγραμμάτων κρυπτογράφησης στο λειτουργικό σύστημα της συσκευής πελάτη TLS. Για οδηγίες σχετικά με το πώς να το κάνετε αυτό στα Windows, ανατρέξτε στο θέμα Καθορισμός προτεραιότητας προγραμμάτων κρυπτογράφησης Schannel.
RFC 2246 (TLS 1.0) ή RFC 5246 (TLS 1.2), με αποτέλεσμα κάθε σύνδεση να αποτυγχάνει. Η συνέχιση δεν είναι εγγυημένη από τα RFC, αλλά μπορεί να χρησιμοποιηθεί κατά τη διακριτική ευχέρεια του προγράμματος-πελάτη και του διακομιστή TLS. Αν αντιμετωπίσετε αυτό το πρόβλημα, θα πρέπει να επικοινωνήσετε με τον κατασκευαστή ή την υπηρεσία παροχής για ενημερώσεις που συμμορφώνονται με τα πρότυπα RFC. 3. Οι διακομιστές ή οι υπολογιστές-πελάτες FTP που δεν είναι συμβατοί με το RFC 2246 (TLS 1.0) και το RFC 5246 (TLS 1.2) μπορεί να παρουσιάσουν σφάλμα μεταφοράς αρχείων κατά τη συνέχιση ή τη σύντομη χειραψία, με αποτέλεσμα κάθε σύνδεση να αποτύχει. Αν αντιμετωπίσετε αυτό το σφάλμα, θα πρέπει να επικοινωνήσετε με τον κατασκευαστή ή την υπηρεσία παροχής για ενημερώσεις που συμμορφώνονται με τα πρότυπα RFC.
2. Τα λειτουργικά συστήματα που αποστέλλουν μηνύματα αιτημάτων πιστοποιητικών μόνο σε πλήρη χειραψία μετά τη συνέχιση δεν συμμορφώνονται με ταΕνημερώσεις που επηρεάζονται
Αυτό το πρόβλημα θα αντιμετωπίσουν η ακόλουθη πιο πρόσφατη συγκεντρωτική ενημέρωση (LCU) ή οι μηνιαίες συναθροίσεις που κυκλοφόρησαν στις 8 Οκτωβρίου 2019 ή αργότερα για τις επηρεαζόμενες πλατφόρμες:
-
KB4517389 LCU για τα Windows 10, έκδοση 1903.
-
KB4519338 LCU για τα Windows 10, έκδοση 1809 και τον Windows Server 2019.
-
KB4520008 LCU για τα Windows 10, έκδοση 1803.
-
KB4520004 LCU για τα Windows 10, έκδοση 1709.
-
KB4520010 LCU για τα Windows 10, έκδοση 1703.
-
KB4519998 LCU για τα Windows 10, έκδοση 1607 και τον Windows Server 2016.
-
KB4520011 LCU για τα Windows 10, έκδοση 1507.
-
KB4520005 Μηνιαία συνάθροιση για τα Windows 8.1 και τον Windows Server 2012 R2.
-
KB4520007 Μηνιαία συνάθροιση για τον Windows Server 2012.
-
KB4519976 Μηνιαία συνάθροιση για τα Windows 7 SP1 και τον Windows Server 2008 R2 SP1.
-
KB4520002 Μηνιαία συνάθροιση για τον Windows Server 2008 SP2
Αυτό το πρόβλημα θα αντιμετωπίσουν οι ακόλουθες ενημερώσεις αποκλειστικά για την ασφάλεια που κυκλοφόρησαν στις 8 Οκτωβρίου 2019 για τις επηρεαζόμενες πλατφόρμες:
-
KB4519990 Ενημέρωση μόνο για την ασφάλεια για τα Windows 8.1 και τον Windows Server 2012 R2.
-
KB4519985 Ενημέρωση μόνο για την ασφάλεια για τον Windows Server 2012 και τα Windows Embedded 8 Standard.
-
KB4520003 Ενημέρωση μόνο για την ασφάλεια για τα Windows 7 SP1 και τον Windows Server 2008 R2 SP1
-
KB4520009 Ενημέρωση μόνο για την ασφάλεια για τον Windows Server 2008 SP2