Applies ToWindows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7

증상

연결을 시도할 때 TLS(전송 계층 보안)가 간헐적으로 실패하거나 시간이 초과될 수 있습니다.  다음과 같은 오류 중 하나 이상이 발생할 수도 있습니다.

  • "요청이 중단되었습니다. SSL/TLS 보안 채널을 만들 수 없습니다."

  • 오류 0x8009030f

  • SCHANNEL 이벤트 36887에 대해 경고 코드 20과 "원격 끝점에서 경고를 받았습니다. 경고 코드에 정의된 TLS 프로토콜은 20입니다."라는 설명이 시스템 이벤트 로그에 기록되는 오류

원인

CVE-2019-1318에 대한 보안 관련 시행으로 인해, 2019년 10월 8일 이후 릴리스된 지원되는 Windows 버전에 대한 모든 업데이트는 RFC 7627에 정의된 대로 재개를 위해 EMS(확장 마스터 보안)를 적용합니다.  준수하지 않는 타사 장치 및 OS에 연결하면 문제가 발생하거나 실패할 수 있습니다.

다음 단계

지원되는 Windows 버전을 실행하는 두 장치 간의 연결에서는 완전히 업데이트 되었을 경우 이 문제가 발생하지 않습니다.  이 문제에 필요한 Windows 업데이트는 없습니다.  이러한 변경 사항은 보안 문제 및 보안 규정 준수를 해결하는 데 필요합니다.

EMS 재개를 지원하지 않는 타사 운영 체제, 장치 또는 서비스는 TLS 연결과 관련된 문제가 발생할 수 있습니다.  RFC 7627에 정의된 대로 EMS 재개를 완전히 지원하는 업데이트는 관리자, 제조업체 또는 서비스 공급자에게 문의해야 합니다.

참고 Microsoft는 EMS 비활성화를 권장하지 않습니다. EMS가 사전에 분명히 비활성화된 경우 다음 레지스트리 키 값을 설정하여 다시 활성화할 수 있습니다.

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

On TLS Server: DisableServerExtendedMasterSecret: 0 On TLS Client: DisableClientExtendedMasterSecret: 0

관리자를 위한 고급 정보

1. TLS_DHE_* 암호 그룹을 협상할 때 Windows 장치가 EMS(확장 마스터 보안)를 지원하지 않는 장치에 TLS(전송 계층 보안) 연결을 시도하면 256번의 시도 중 약 1번이 간헐적으로 실패할 수 있습니다. 이 문제를 완화하려면 기본 설정 순서에 따라 다음 솔루션 중 하나를 적용합니다.

  • 클라이언트와 서버 운영 체제 모두에서 TLS 연결을 수행할 때 ESM(Extended Master Secret) 확장을 지원합니다.

  • EMS를 지원하지 않는 운영 체제의 경우 TLS 클라이언트 장치 OS의 암호 그룹 목록에서 TLS_DHE_* 암호 그룹을 제거합니다. Windows에서 이 작업을 수행하는 방법에 대한 지침은 Schannel 암호 그룹 우선 순위 지정을 참조하세요.

2. 재개 후 전체 핸드셰이크에서 인증서 요청 메시지만 보내는 운영 체제는 RFC 2246(TLS 1.0) 또는 RFC 5246(TLS 1.2)과 호환되지 않으며 각 연결은 실패하게 됩니다. 재개는 RFC에 의해 보장되지 않지만 TLS 클라이언트 및 서버의 재량에 따라 사용될 수 있습니다.  이 문제가 발생하면 제조업체 또는 서비스 공급자에게 RFC 표준을 준수하는 업데이트에 관해 문의해야 합니다.3. RFC 2246(TLS 1.0)RFC 5246(TLS 1.2)과 호환되지 않는 FTP 서버 또는 클라이언트는 재개 또는 축약된 핸드셰이크에서 파일을 전송하지 못할 수 있으며 각 연결은 실패하게 됩니다. 이 문제가 발생하면 제조업체 또는 서비스 공급자에게 RFC 표준을 준수하는 업데이트에 관해 문의해야 합니다.

영향을 받는 업데이트

해당 플랫폼에 대해 2019년 10월 8일 또는 이후에 공개된 최신 누적 업데이트(LCU) 또는 월별 롤업에서 이 문제가 발생할 수 있습니다.

  • KB4517389 Windows 10 버전 1903용 LCU.

  • KB4519338 Windows 10 버전 1809 및 Windows Server 2019용 LCU.

  • KB4520008 Windows 10 버전 1803용 LCU.

  • KB4520004 Windows 10 버전 1709용 LCU.

  • KB4520010 Windows 10 버전 1703용 LCU.

  • KB4519998 Windows 10 버전 1607 및 Windows Server 2016용 LCU.

  • KB4520011 Windows 10 버전 1507용 LCU.

  • KB4520005 Windows 8.1 및 Windows Server 2012 R2용 월별 롤업.

  • KB4520007 Windows Server 2012용 월별 롤업.

  • KB4519976 Windows 7 SP1 및 Windows Server 2008 R2 SP1용 월별 롤업.

  • KB4520002 Windows Server 2008 SP2용 월별 롤업

영향을 받는 플랫폼을 대상으로 2019년 10월 8일 에 공개된 다음 보안 전용 업데이트에 이 문제가 발생할 수 있습니다.

  • KB4519990 Windows 8.1 및 Windows Server 2012 R2용 보안 전용 업데이트.

  • KB4519985 Windows Server 2012 및 Windows Embedded 8 Standard용 보안 전용 업데이트.

  • KB4520003 Windows 7 SP1 및 Windows Server 2008 R2 SP1용 보안 전용 업데이트.

  • KB4520009 Windows Server 2008 SP2용 보안 전용 업데이트

도움이 더 필요하세요?

더 많은 옵션을 원하세요?

구독 혜택을 살펴보고, 교육 과정을 찾아보고, 디바이스를 보호하는 방법 등을 알아봅니다.

커뮤니티를 통해 질문하고 답변하고, 피드백을 제공하고, 풍부한 지식을 갖춘 전문가의 의견을 들을 수 있습니다.