Applies ToWindows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7

Príznaky

Pri pokuse o pripojenie môže dôjsť k občasnému zlyhaniu alebo uplynutiu časového limitu TLS (Transport Layer Security). Môže sa zobraziť aj jedna z nasledujúcich chýb:

  • The request was aborted: Could not create SSL/TLS secure Channel (Požiadavka bola prerušená: nebolo možné vytvoriť zabezpečený kanál SSL/TLS)

  • chyba 0x8009030f

  • Chyba zaznamenaná v denníku udalostí systému pre udalosť SCHANNEL 36887 s výstražným kódom 20 a popisom A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 20. (Zo vzdialeného koncového bodu bola prijatá fatálna výstraha. Kód fatálnej výstrahy definovanej protokolom TLS je 20.) ​

Príčina

Vzhľadom na vynucovanie týkajúce sa zabezpečenia pre CVE-2019-1318 všetky aktualizácie pre podporované verzie Windowsu vydané 8. októbra 2019 alebo neskôr vynucujú obnovenie Extended Master Secret (EMS) tak, ako to definuje RFC 7627. Pripojenia k zariadeniam a operačným systémom tretej strany, ktoré nie sú kompatibilné, môžu mať problémy alebo môžu zlyhať.

Ďalšie kroky

Pri pripojeniach medzi dvoma zariadeniami s ľubovoľnou podporovanou verziou Windowsu by sa tento problém nemal vyskytnúť, ak obe zariadenia sú plne aktualizované. Nie je k dispozícii žiadna aktualizácia pre Windows, ktorá by bola potrebná na odstránenie tohto problému. Tieto zmeny sú potrebné na riešenie problému so zabezpečením a dodržiavanie zabezpečenia.

Všetky operačné systémy, zariadenia alebo služby tretej strany, ktoré nepodporujú obnovenie EMS, môžu mať problémy súvisiace s pripojeniami TLS. Mali by ste sa obrátiť na správcu, výrobcu alebo poskytovateľa služby a požiadať ho o aktualizácie, ktoré plne podporujú obnovenie EMS tak, ako to definuje RFC 7627.

Poznámka: Microsoft neodporúča vypnúť EMS. Ak bolo EMS predtým explicitne vypnuté, môžete ho znova zapnúť nastavením nasledujúcich hodnôt kľúčov databázy Registry:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

Na serveri TLS: DisableServerExtendedMasterSecret: 0 V klientovi TLS: DisableClientExtendedMasterSecret: 0

Rozšírené informácie pre správcov

1. Zariadenie s Windowsom, ktoré sa pokúša o pripojenie TLS (Transport Layer Security) k zariadeniu, ktoré nepodporuje EMS (Extended Master Secret), keď sú vyjednané balíky so šifrovaním TLS_DHE_*, môže občas zlyhať približne pri 1 z 256 pokusov. Na zmiernenie tohto problému implementujte jedno z nasledujúcich riešení uvedených v poradí preferencie:

  • Povoľte podporu pre rozšírenia Extend Master Secret (EMS) pri vytváraní pripojení TLS v klientskom aj serverovom operačnom systéme.

2. Operačné systémy, ktoré pri procese úplného podania rúk po obnovení posielajú iba správy žiadosti o certifikát, nie sú v súlade s dokumentom RFC 2246 (TLS 1.0) alebo RFC 5246 (TLS 1.2) a budú mať za následok zlyhanie každého pripojenia. Dokumenty RFC nezaručujú obnovenie, ale to môže sa použiť na základe uváženia klienta a servera TLS. Ak sa vyskytne tento problém, budete musieť požiadať výrobcu alebo poskytovateľa služieb o aktualizácie, ktoré vyhovujú štandardom RFC.3. Servery alebo klienti FTP, ktorí nie sú v súlade s dokumentami RFC 2246 (TLS 1.0)RFC 5246 (TLS 1.2), môžu zlyhať pri prenose súborov pri obnovení alebo skrátení procesu podania rúk a spôsobiť zlyhanie každého pripojenia. Ak sa vyskytne tento problém, budete musieť požiadať výrobcu alebo poskytovateľa služieb o aktualizácie, ktoré vyhovujú štandardom RFC.

Ovplyvnené aktualizácie

Každá najnovšia kumulatívna aktualizácia (LCU) či mesačné súhrnné aktualizácie vydané 8. októbra 2019 alebo neskôr pre príslušné platformy môžu zaznamenať tento problém:

  • KB4517389 LCU pre Windows 10, verziu 1903.

  • KB4519338 LCU pre Windows 10, verziu 1809 a Windows Server 2019.

  • KB4520008 LCU pre Windows 10, verziu 1803.

  • KB4520004 LCU pre Windows 10, verziu 1709.

  • KB4520010 LCU pre Windows 10, verziu 1703.

  • KB4519998 LCU pre Windows 10, verziu 1607 a Windows Server 2016.

  • KB4520011 LCU pre Windows 10, verziu 1507.

  • KB4520005 Mesačná súhrnná aktualizácia pre Windows 8.1 a Windows Server 2012 R2.

  • KB4520007 Mesačná súhrnná aktualizácia pre Windows Server 2012.

  • KB4519976 Mesačná súhrnná aktualizácia pre Windows 7 SP1 a Windows Server 2008 R2 SP1.

  • KB4520002 Mesačná súhrnná aktualizácia pre Windows Server 2008 SP2

Nasledujúce aktualizácie týkajúce sa iba zabezpečenia vydaná 8. októbra 2019 pre príslušné platformy môžu zaznamenať tento problém:

  • KB4519990 Iba aktualizácia na zabezpečenie pre Windows 8.1 a Windows Server 2012 R2.

  • KB4519985 Iba aktualizácia zabezpečenia pre Windows Server 2012 a Windows Embedded 8 Standard.

  • KB4520003 Iba aktualizácia na zabezpečenie pre Windows 7 SP1 a Windows Server 2008 R2 SP1

  • KB4520009 Iba aktualizácia zabezpečenia pre Windows Server 2008 SP2

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.