Príznaky
Pri pokuse o pripojenie môže dôjsť k občasnému zlyhaniu alebo uplynutiu časového limitu TLS (Transport Layer Security). Môže sa zobraziť aj jedna z nasledujúcich chýb:
-
The request was aborted: Could not create SSL/TLS secure Channel (Požiadavka bola prerušená: nebolo možné vytvoriť zabezpečený kanál SSL/TLS)
-
chyba 0x8009030f
-
Chyba zaznamenaná v denníku udalostí systému pre udalosť SCHANNEL 36887 s výstražným kódom 20 a popisom A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 20. (Zo vzdialeného koncového bodu bola prijatá fatálna výstraha. Kód fatálnej výstrahy definovanej protokolom TLS je 20.)
Príčina
Vzhľadom na vynucovanie týkajúce sa zabezpečenia pre CVE-2019-1318 všetky aktualizácie pre podporované verzie Windowsu vydané 8. októbra 2019 alebo neskôr vynucujú obnovenie Extended Master Secret (EMS) tak, ako to definuje RFC 7627. Pripojenia k zariadeniam a operačným systémom tretej strany, ktoré nie sú kompatibilné, môžu mať problémy alebo môžu zlyhať.
Ďalšie kroky
Pri pripojeniach medzi dvoma zariadeniami s ľubovoľnou podporovanou verziou Windowsu by sa tento problém nemal vyskytnúť, ak obe zariadenia sú plne aktualizované. Nie je k dispozícii žiadna aktualizácia pre Windows, ktorá by bola potrebná na odstránenie tohto problému. Tieto zmeny sú potrebné na riešenie problému so zabezpečením a dodržiavanie zabezpečenia.
Všetky operačné systémy, zariadenia alebo služby tretej strany, ktoré nepodporujú obnovenie EMS, môžu mať problémy súvisiace s pripojeniami TLS. Mali by ste sa obrátiť na správcu, výrobcu alebo poskytovateľa služby a požiadať ho o aktualizácie, ktoré plne podporujú obnovenie EMS tak, ako to definuje RFC 7627.
Poznámka: Microsoft neodporúča vypnúť EMS. Ak bolo EMS predtým explicitne vypnuté, môžete ho znova zapnúť nastavením nasledujúcich hodnôt kľúčov databázy Registry:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
Na serveri TLS: DisableServerExtendedMasterSecret: 0 V klientovi TLS: DisableClientExtendedMasterSecret: 0
Rozšírené informácie pre správcov
1. Zariadenie s Windowsom, ktoré sa pokúša o pripojenie TLS (Transport Layer Security) k zariadeniu, ktoré nepodporuje EMS (Extended Master Secret), keď sú vyjednané balíky so šifrovaním TLS_DHE_*, môže občas zlyhať približne pri 1 z 256 pokusov. Na zmiernenie tohto problému implementujte jedno z nasledujúcich riešení uvedených v poradí preferencie:
-
Povoľte podporu pre rozšírenia Extend Master Secret (EMS) pri vytváraní pripojení TLS v klientskom aj serverovom operačnom systéme.
-
V prípade operačných systémov, ktoré nepodporujú EMS, odstráňte balíky so šifrovaním TLS_DHE_* zoznamu balíkov so šifrovaním v operačnom systéme klientskeho zariadenia TLS. Pokyny k tomu, ako to urobiť vo Windowse, nájdete v článku o uprednostňovaní balíkov so šifrovaním zabezpečených kanálov.
RFC 2246 (TLS 1.0) alebo RFC 5246 (TLS 1.2) a budú mať za následok zlyhanie každého pripojenia. Dokumenty RFC nezaručujú obnovenie, ale to môže sa použiť na základe uváženia klienta a servera TLS. Ak sa vyskytne tento problém, budete musieť požiadať výrobcu alebo poskytovateľa služieb o aktualizácie, ktoré vyhovujú štandardom RFC. 3. Servery alebo klienti FTP, ktorí nie sú v súlade s dokumentami RFC 2246 (TLS 1.0) a RFC 5246 (TLS 1.2), môžu zlyhať pri prenose súborov pri obnovení alebo skrátení procesu podania rúk a spôsobiť zlyhanie každého pripojenia. Ak sa vyskytne tento problém, budete musieť požiadať výrobcu alebo poskytovateľa služieb o aktualizácie, ktoré vyhovujú štandardom RFC.
2. Operačné systémy, ktoré pri procese úplného podania rúk po obnovení posielajú iba správy žiadosti o certifikát, nie sú v súlade s dokumentomOvplyvnené aktualizácie
Každá najnovšia kumulatívna aktualizácia (LCU) či mesačné súhrnné aktualizácie vydané 8. októbra 2019 alebo neskôr pre príslušné platformy môžu zaznamenať tento problém:
-
KB4517389 LCU pre Windows 10, verziu 1903.
-
KB4519338 LCU pre Windows 10, verziu 1809 a Windows Server 2019.
-
KB4520008 LCU pre Windows 10, verziu 1803.
-
KB4520004 LCU pre Windows 10, verziu 1709.
-
KB4520010 LCU pre Windows 10, verziu 1703.
-
KB4519998 LCU pre Windows 10, verziu 1607 a Windows Server 2016.
-
KB4520011 LCU pre Windows 10, verziu 1507.
-
KB4520005 Mesačná súhrnná aktualizácia pre Windows 8.1 a Windows Server 2012 R2.
-
KB4520007 Mesačná súhrnná aktualizácia pre Windows Server 2012.
-
KB4519976 Mesačná súhrnná aktualizácia pre Windows 7 SP1 a Windows Server 2008 R2 SP1.
-
KB4520002 Mesačná súhrnná aktualizácia pre Windows Server 2008 SP2
Nasledujúce aktualizácie týkajúce sa iba zabezpečenia vydaná 8. októbra 2019 pre príslušné platformy môžu zaznamenať tento problém:
-
KB4519990 Iba aktualizácia na zabezpečenie pre Windows 8.1 a Windows Server 2012 R2.
-
KB4519985 Iba aktualizácia zabezpečenia pre Windows Server 2012 a Windows Embedded 8 Standard.
-
KB4520003 Iba aktualizácia na zabezpečenie pre Windows 7 SP1 a Windows Server 2008 R2 SP1
-
KB4520009 Iba aktualizácia zabezpečenia pre Windows Server 2008 SP2