Wir haben darüber gesprochen TLS-Handshake, und wie es scheitern kann. Wir haben auch darauf hingewiesen, dass viele TLS-Fehler aufgetreten sind, weil Microsoft versucht hat, etwas zu reparieren. Ein Sicherheitsupdate CVE-2019-1318 hat dazu geführt, dass das letzte für TLS und SSL gerollt wurde. Dies hat dazu geführt, dass TLS-Verbindungen zeitweise fehlgeschlagen sind oder lange gedauert haben und zu einem Timeout geführt haben. In diesem Beitrag werden wir die Problemumgehungen für TLS-Fehler und Zeitüberschreitungen in Windows-Systemen vorstellen.
Aufgrund dieses anhaltenden Problems treten häufig folgende Fehler auf:
- Die Anfrage wurde abgebrochen: Der sichere SSL/TLS-Kanal konnte nicht erstellt werden
- Fehler 0x8009030f
- Ein im Systemereignisprotokoll für das SCHANNEL-Ereignis 36887 protokollierter Fehler mit dem Alarmcode 20 und der Beschreibung „Ein schwerwiegender Alarm wurde vom Remote-Endpunkt empfangen. Der vom TLS-Protokoll definierte fatale Alarmcode ist 20.“
Welche Versionen von Windows sind von TLS-Fehlern betroffen?
Die Schwachstelle kann dem Angreifer die Möglichkeit geben, einen Man-in-the-Middle-Angriff durchzuführen. Dies wurde durch das Update behoben und führte zu TLS-Fehlern und Zeitüberschreitungen in Windows-Systemen.
Microsoft wies darauf hin, dass dies nur passiert, wenn die Geräte versuchen, TLS-Verbindungen zu Geräten ohne Unterstützung für die Extended Master Secret-Erweiterung herzustellen. Wenn die Geräte über die unterstützte Version verfügen, tritt dies nicht auf. Hier ist die Liste der derzeit betroffenen Windows-Versionen:
- Windows 10-Version 1607
- Windows-Server 2016
- Windows 10
- Windows 8.1
- Windows Server 2012 R2
- Windows-Server 2012
- Windows 7 Servicepack 1
- Windows Server 2008 R2 Servicepack 1
- Windows Server 2008 Servicepack 2
Liste der Windows-Updates sind aufgrund des Sicherheitsupdates betroffen
Bei allen neuesten kumulativen Updates (LCU) oder monatlichen Rollups, die am 8. Oktober 2019 oder später für die betroffenen Plattformen veröffentlicht wurden, kann dieses Problem auftreten:
- KB4517389 LCU für Windows 10, Version 1903.
- KB4519338 LCU für Windows 10, Version 1809, und Windows Server 2019.
- KB4520008 LCU für Windows 10, Version 1803.
- KB4520004 LCU für Windows 10, Version 1709.
- KB4520010 LCU für Windows 10, Version 1703.
- KB4519998 LCU für Windows 10, Version 1607, und Windows Server 2016.
- KB4520011 LCU für Windows 10, Version 1507.
- KB4520005 Monatlicher Rollup für Windows 8.1 und Windows Server 2012 R2.
- KB4520007 Monatlicher Rollup für Windows Server 2012.
- KB4519976 Monatlicher Rollup für Windows 7 SP1 und Windows Server 2008 R2 SP1.
- KB4520002 Monatlicher Rollup für Windows Server 2008 SP2
- KB4519990 Reines Sicherheitsupdate für Windows 8.1 und Windows Server 2012 R2.
- KB4519985 Reines Sicherheitsupdate für Windows Server 2012 und Windows Embedded 8 Standard.
- KB4520003 Reines Sicherheitsupdate für Windows 7 SP1 und Windows Server 2008 R2 SP1
- KB4520009 Reines Sicherheitsupdate für Windows Server 2008 SP2
Problemumgehungen für TLS-Fehler, Zeitüberschreitungen in Windows
Laut Microsoft gibt es das Drei Wege um TLS-Fehler und Timeouts zu beheben.
- Aktivieren Sie EMS sowohl auf dem Client als auch auf dem Server
- Entfernen Sie TLS_DHE_*-Verschlüsselungssammlungen
- EMS unter Windows 10/Windows Server aktivieren/deaktivieren
Beachten Sie, dass die Problemumgehungen Nachteile haben, insbesondere aus Sicherheitssicht.
1]Aktivieren Sie EMS sowohl auf dem Client als auch auf dem Server
Da wir wissen, dass das Problem nicht auftritt, wenn auf beiden Seiten EMS installiert ist, ist die Lösung offensichtlich. Obwohl EMS standardmäßig für alle Versionen nach dem 8. Oktober 2019 aktiviert wurde, stellen Sie sicher, dass Sie dies tun, wenn dies nicht der Fall ist Aktivieren Sie die Unterstützung für die Extend Master Secret (EMS)-Erweiterung.
Wenn Sie ein IT-Administrator sind, stellen Sie sicher, dass Sie die EMS-Wiederaufnahme gemäß der Definition von unterstützen RFC-7627 völlig.
2]TLS_DHE_*-Verschlüsselungssammlungen entfernen
Wenn das Betriebssystem EMS nicht unterstützt, muss der IT-Administrator TLS_DHE_*-Verschlüsselungssammlungen aus der Liste der Verschlüsselungssammlungen im Betriebssystem des TLS-Clientgeräts entfernen. Vollständige Dokumentation für Priorisierung von Schannel Cipher Suites ist verfügbar.
Dies ist jedoch eine vorübergehende Lösung, und das Deaktivieren bedeutet nur, dass Sie einen Man-in-the-Middle-Angriff einladen
3]EMS unter Windows 10/Windows Server aktivieren/deaktivieren
Wenn Sie aufgrund eines TLS-Problems EMS auf Ihrem Computer deaktiviert haben, verwenden Sie die Registrierungseinstellungen sowohl auf dem Server als auch auf dem Client, um es zu aktivieren.
- Öffnen Sie den Registrierungseditor
- Navigieren Sie zu HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
- Auf TLS-Server: DisableServerExtendedMasterSecret: 0
- Auf TLS-Client: DisableClientExtendedMasterSecret: 0
Wenn sie nicht verfügbar sind, können Sie sie erstellen.
Ich hoffe, diese Problemumgehungen waren hilfreich, um das Problem zu beheben, mit dem Sie vorübergehend mit TLS konfrontiert sind. Behalten Sie Updates im Auge, die zur Behebung dieses Problems eingeführt werden.
Lesen: Unterschied zwischen TLS- und SSL-Verschlüsselungsverfahren.