Applies ToWindows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7

Ongelman oireet

Kun yhteyttä yritetään muodostaa, Transport Layer Security (TLS) voi epäonnistua tai se aikakatkaistaan. Saatat myös saada vähintään yhden seuraavista virheistä:

  • "Pyyntö keskeytettiin: SSL/TLS-suojattua kanavaa ei voitu luoda"

  • virhe 0x8009030f

  • Virhe kirjauduttaessa järjestelmän tapahtumalokiin SCHANNEL-tapahtumassa 36887 hälytyskoodilla 20 ja kuvauksella "etäpäätepisteestä vastaanotettiin vakava hälytys. TLS-protokolla on määrittänyt vakavan hälytyskoodin 20. ​"

Syy

CVE-2019-1318-tietoturvaan liittyvän pakotusjärjestelmän vuoksi kaikki 8.10.2019 tai myöhemmin julkaistut päivitykset tuetuille Windows-versioille suorittavat Extended Master Secret (TMS) -standardia jatkoa varten, kuten kohteessa RFC 7627 määritetään. Yhteydet epäyhteensopiviin kolmannen osapuolen laitteisiin ja käyttöjärjestelmiin saattavat kohdata ongelmia tai epäonnistua.

Seuraavat vaiheet

Päivityksen suorittamisen jälkeen tämän ongelman ei pitäisi ilmetä, kun yhteys on muodostettu kahden laitteen välillä, joissa on jokin tuettu Windows-versio. Tälle ongelmalle ei tarvita Windows-päivitystä. Näitä muutoksia tarvitaan suojausongelman ja -yhteensopivuuden ratkaisemiseksi.

Mikä tahansa kolmannen osapuolen käyttöjärjestelmä, laite tai palvelu, joka ei tue EMS-järjestelmän jatkamista, saattaa kohdata TLS-yhteyksiin liittyviä ongelmia. Ota yhteyttä järjestelmänvalvojaan, valmistajaan tai palveluntarjoajaan ja pyydä päivityksiä, jotka tukevat täysin RFC 7627:ssä määritettyä EMS-järjestelmän jatkamista.

Huomautus Microsoft ei suosittele EMS-järjestelmän poistamista käytöstä. Jos EMS oli aiemmin poistettu eksplisiittisesti käytöstä, se voidaan ottaa uudelleen käyttöön asettamalla seuraavat rekisteriavaimen arvot:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

TLS-palvelimessa: DisableServerExtendedMasterSecret: 0 TLS-asiakasohjelmassa: DisableClientExtendedMasterSecret: 0

Lisätietoja järjestelmänvalvojille

1. Windows-laite, joka yrittää muodostaa Transport Layer Security (TLS) -yhteyttä laitteeseen, joka ei tue Extended Master Secret (EMS) -standardia TLS_DHE_ * -salausohjelmien ollessa sovittuja, saattaa ajoittain epäonnistua noin kerran 256 yritystä kohden. Tätä ongelmaa voidaan lieventää toteuttamalla jokin seuraavista ensisijaisuusjärjestyksessä luetelluista ratkaisuista:

  • Ota EMS (Master Secret)-laajennusten tuki käyttöön, kun suoritat TLS-yhteyksiä sekä asiakas-että palvelinkäyttöjärjestelmässä.

  • Jos käyttöjärjestelmä ei tue EMS-järjestelmää, Poista TLS_DHE_ *-salausohjelmat TLS-asiakaslaitteen käyttöjärjestelmän salausohjelmaluettelosta. Lisätietoja tämän suorittamisesta Windowsissa on ohjeaiheessa Schannel-salausohjelmistojenpriorisointi.

2. Käyttöjärjestelmät, jotka lähettävät vain varmennepyyntöviestejä täydellisessä käsittelyssä jatkon jälkeen eivät ole RFC 2246 (TLS 1.0)- tai RFC 5246 (TLS 1.2)-standardien mukaisia ja aiheuttavat yhteyden epäonnistumisen. RFC:t eivät takaa jatkamista, mutta niitä voidaan käyttää TLS-asiakkaan ja palvelimen harkinnan mukaan. Jos kohtaat tämän ongelman, sinun on otettava yhteyttä valmistajaan tai palveluntarjoajaan RFC-standardeja noudattavia päivityksiä varten.3. FTP-palvelimet tai-asiakkaat, jotka eivät ole RFC 2246 (TLS 1.0)- ja RFC 5246 (TLS 1.2) -standardien mukaisia, saattavat johtaa tiedostojen lähetyksen epäonnistumiseen tai käsittelyn lyhenemiseen, mikä aiheuttaa yhteyden epäonnistumisen. Jos kohtaat tämän ongelman, sinun on otettava yhteyttä valmistajaan tai palveluntarjoajaan RFC-standardeja noudattavia päivityksiä varten.

Päivitykset, joihin ongelma vaikuttaa

Ongelma saattaa ilmetä uusimmassa kumulatiivisessa päivityksessä (LCU) tai kuukausittaisissa koontiversioissa, jotka julkaistiin 8. lokakuuta 2019 tai sen jälkeen käyttöympäristöille, joita ongelma koskee:

  • KB4517389 uudempi kumulatiivinen päivitys Windows 10:n versiolle 1903.

  • KB4519338 uudempi kumulatiivinen päivitys Windows 10:n versiolle 1809 ja Windows Server 2019:lle.

  • KB4520008 uudempi kumulatiivinen päivitys Windows 10:n versiolle 1803.

  • KB4520004 uudempi kumulatiivinen päivitys Windows 10:n versiolle 1709.

  • KB4520010 uudempi kumulatiivinen päivitys Windows 10:n versiolle 1703.

  • KB4519998 uudempi kumulatiivinen päivitys Windows 10:n versiolle 1607 ja Windows Server 2016:lle.

  • KB4520011 uudempi kumulatiivinen päivitys Windows 10:n versiolle 1507.

  • KB4520005 Kuukausittainen koontipäivitys Windows 8.1:lle ja Windows Server 2012 R2:lle.

  • KB4520007 Kuukausittainen koontiversio Windows Server 2012:lle.

  • KB4519976 Kuukausittainen koontipäivitys Windows 7 SP1:lle ja Windows Server 2008 R2 SP1:lle.

  • KB4520002 Kuukausittainen koontiversio Windows Server 2008 SP2:lle.

Ongelma saattaa ilmetä vain suojauspäivityksissä, jotka julkaistiin 8. lokakuuta 2019 käyttöympäristöille, joita ongelma koskee:

  • KB4519990 Vain suojauspäivitys Windows 8.1:lle ja Windows Server 2012 R2:lle.

  • KB4519985 Vain suojauspäivitys Windows Server 2012:lle ja Windows Embedded 8 Standardille.

  • KB4520003 Vain suojauspäivitys Windows 7 SP1:lle ja Windows Server 2008 R2 SP1:lle.

  • KB4520009 Vain suojauspäivitys Windows Server 2008 SP2:lle.

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.