Applies ToWindows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7

Symptomen

Wanneer je probeert verbinding te maken, kunnen TLS (Transport Layer Security) en SSL (Secure Sockets Layer) mislukken of kan er een time-out optreden. Je ontvangt mogelijk ook een of meer van de volgende foutberichten:

  • 'De aanvraag is afgebroken: kan geen beveiligd SSL/TLS-kanaal maken'

  • fout 0x8009030f

  • Er is een fout geregistreerd in het systeemgebeurtenislogboek voor SCHANNEL-gebeurtenis 36887 met waarschuwingscode 20 en de beschrijving 'Een melding van een onherstelbare fout is ontvangen van het externe eindpunt. De door het TLS-protocol gedefinieerde meldingcode van de onherstelbare fout is 20.​'

Oorzaak

Vanwege beveiligingsproblemen met betrekking tot CVE-2019-1318, dwingen alle updates voor ondersteunde versies van Windows uitgebracht op 8 oktober 2019 of later Extended Master Secret (EMS) af voor hervatting, zoals gedefinieerd door RFC 7627. Verbindingen met apparaten van derden en besturingssystemen die niet compatibel zijn, kunnen problemen ondervinden of mislukken.

Volgende stappen

Verbindingen tussen twee apparaten waarop een ondersteunde versie van Windows wordt uitgevoerd, mogen dit probleem niet hebben als ze volledig zijn bijgewerkt. Er is geen update voor Windows nodig voor dit probleem. Deze wijzigingen zijn vereist om een beveiligingsprobleem en beveiligingscompatibiliteit te verhelpen.

Elk besturingssysteem, apparaat of service van derden dat EMS-hervatting niet ondersteunt, kan problemen vertonen met betrekking tot TLS-verbindingen. Neem contact op met de beheerder, fabrikant of serviceprovider voor updates die EMS-hervatting volledig ondersteunen, zoals gedefinieerd door RFC 7627.

Opmerking Microsoft adviseert niet om EMS uit te schakelen. Als EMS eerder expliciet was uitgeschakeld, kan het opnieuw worden ingeschakeld door de volgende registersleutelwaarden in te stellen:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

Op TLS-server: DisableServerExtendedMasterSecret: 0 Op TLS-client: DisableClientExtendedMasterSecret: 0

Geavanceerde informatie voor beheerders

1. Een Windows-apparaat dat probeert een TLS-verbinding (Transport Layer Security) tot stand te brengen met een apparaat dat geen ondersteuning biedt voor Extended Master Secret (EMS) bij onderhandelingen over TLS_DHE_*-coderingssuites kan hier af en toe, bij ongeveer 1 uit 256 pogingen, niet in slagen. Als je dit probleem wilt verhelpen, implementeer je een van de volgende oplossingen in volgorde van voorkeur:

  • Schakel ondersteuning voor EMS-extensies (Extended Master Secret) in bij het uitvoeren van TLS-verbindingen op zowel het besturingssysteem van de client als de server.

  • Voor besturingssystemen die EMS niet ondersteunen, verwijder je de TLS_DHE_*-coderingssuites uit de lijst met coderingssuites in het besturingssysteem van het TLS-clientapparaat. Zie De prioriteit van Schannel-coderingssuites bepalenvoor instructies over hoe je dit doet in Windows.

2. Besturingssystemen die alleen aanvraagberichten voor certificaten verzenden in een volledige Handshake na hervatting zijn niet compatibel met RFC 2246 (TLS 1.0) of RFC 5246 (TLS 1.2) en zullen ervoor zorgen dat elke verbinding mislukt. Hervatting wordt niet gegarandeerd door de RFC's, maar kan worden gebruikt naar wens van de TLS-client en -server. Als dit probleem zich voordoet, moet je contact opnemen met de fabrikant of serviceprovider voor updates die voldoen aan de RFC-normen.3. FTP-servers of clients die niet compatibel zijn met RFC 2246 (TLS 1.0) en RFC 5246 (TLS 1.2) slagen er mogelijk niet in om bestanden over te dragen bij hervatting of een verkorte Handshake en zorgen ervoor dat elke verbinding mislukt. Als dit probleem zich voordoet, moet je contact opnemen met de fabrikant of serviceprovider voor updates die voldoen aan de RFC-normen.

Betrokken updates

Alle meest recente cumulatieve updates (LCU) of maandelijkse updatepakketten die zijn uitgebracht op 8 oktober 2019 of later voor de getroffen platforms ondervinden mogelijk dit probleem:

  • KB4517389 LCU voor Windows 10 versie 1903.

  • KB4519338 LCU voor Windows 10 versie 1809 en Windows Server 2019.

  • KB4520008 LCU voor Windows 10 versie 1803.

  • KB4520004 LCU voor Windows 10 versie 1709.

  • KB4520010 LCU voor Windows 10 versie 1703.

  • KB4519998 LCU voor Windows 10 versie 1607 en Windows Server 2016.

  • KB4520011 LCU voor Windows 10 versie 1507.

  • KB4520005 Maandelijks updatepakket voor Windows 8.1 en Windows Server 2012 R2.

  • KB4520007 Maandelijks updatepakket voor Windows Server 2012.

  • KB4519976 Maandelijks updatepakket voor Windows 7 SP1 en Windows Server 2008 R2 SP1.

  • KB4520002 Maandelijks updatepakket voor Windows Server 2008 SP2

De volgende beveiligingsupdates die zijn uitgebracht op 8 oktober 2019 voor de getroffen platforms ondervinden mogelijk dit probleem:

  • KB4519990 Beveiligingsupdate voor Windows 8.1 en Windows Server 2012 R2.

  • KB4519985 Beveiligingsupdate voor Windows Server 2012 en Windows Embedded 8 Standard.

  • KB4520003 Beveiligingsupdate voor Windows 7 SP1 en Windows Server 2008 R2 SP1

  • KB4520009 Beveiligingsupdate voor Windows Server 2008 SP2

Meer hulp nodig?

Meer opties?

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.