Problemumgehungen für TLS-Fehler, Zeitüberschreitungen in Windows-Systemen

Wir haben darüber gesprochen TLS-Handshake, und wie es scheitern kann. Wir haben auch festgestellt, dass viele TLS-Fehler aufgetreten sind, weil Microsoft versucht hat, etwas zu reparieren. Eine Sicherheitsaktualisierung CVE-2019-1318 hat dazu geführt, dass die jüngste für TLS und SSL gerollt wurde. Dies hat dazu geführt, dass TLS-Verbindungen zeitweise fehlgeschlagen sind oder lange dauern und zu einem Timeout geführt haben. In diesem Beitrag werden wir die Problemumgehungen für TLS-Fehler und Zeitüberschreitungen in Windows-Systemen teilen.

Die folgenden Fehler sind aufgrund dieses anhaltenden Problems häufig:

• Die Anfrage wurde abgebrochen: Der sichere SSL/TLS-Kanal konnte nicht erstellt werden
• Fehler 0x8009030f
• Ein im Systemereignisprotokoll protokollierter Fehler für das SCHANNEL-Ereignis 36887 mit dem Warncode 20 und der Beschreibung "Vom Remote-Endpunkt wurde eine schwerwiegende Warnung empfangen". Der vom TLS-Protokoll definierte Code für schwerwiegende Warnungen ist 20.?”

Welche Windows-Versionen sind von TLS-Fehlern betroffen?

Die Schwachstelle kann dem Angreifer die Möglichkeit geben, einen Man-in-the-Middle-Angriff durchzuführen. Dies wurde durch das Update behoben und führte zu TLS-Fehlern, Timeouts in Windows-Systemen.

Microsoft wies darauf hin, dass dies nur passiert, wenn die Geräte versuchen, TLS-Verbindungen zu Geräten ohne Unterstützung für die Extended Master Secret-Erweiterung herzustellen support. Wenn die Geräte die unterstützte Version haben, tritt es nicht auf. Hier die aktuell betroffenen Windows-Versionen:

1. Windows 10 Version 1607
2. Windows Server 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Windows Server 2012
7. Windows 7 Servicepack 1
8. Windows Server 2008 R2 Service Pack 1
9. Windows Server 2008 Servicepack 2

Die Liste der Windows-Updates ist aufgrund des Sicherheitsupdates betroffen

Bei allen neuesten kumulativen Updates (LCU) oder monatlichen Rollups, die am 8. Oktober 2019 oder später für die betroffenen Plattformen veröffentlicht wurden, kann dieses Problem auftreten:

1. KB4517389 LCU für Windows 10, Version 1903.
2. KB4519338 LCU für Windows 10, Version 1809 und Windows Server 2019.
3. KB4520008 LCU für Windows 10, Version 1803.
4. KB4520004 LCU für Windows 10, Version 1709.
5. KB4520010 LCU für Windows 10, Version 1703.
6. KB4519998 LCU für Windows 10, Version 1607 und Windows Server 2016.
7. KB4520011 LCU für Windows 10, Version 1507.
8. KB4520005 Monatliches Rollup für Windows 8.1 und Windows Server 2012 R2.
9. KB4520007 Monatlicher Rollup für Windows Server 2012.
10. KB4519976 Monatliches Rollup für Windows 7 SP1 und Windows Server 2008 R2 SP1.
11. KB4520002 Monatliches Rollup für Windows Server 2008 SP2
12. KB4519990 Nur-Sicherheitsupdate für Windows 8.1 und Windows Server 2012 R2.
13. KB4519985 Nur-Sicherheitsupdate für Windows Server 2012 und Windows Embedded 8 Standard.
14. KB4520003 Nur-Sicherheitsupdate für Windows 7 SP1 und Windows Server 2008 R2 SP1
15. KB4520009 Nur-Sicherheitsupdate für Windows Server 2008 SP2

Problemumgehungen für TLS-Fehler, Zeitüberschreitungen in Windows

Laut Microsoft gibt es drei Möglichkeiten, TLS-Fehler und Zeitüberschreitungen zu beheben.

1. Aktivieren Sie EMS auf Client und Server
2. TLS_DHE_*-Verschlüsselungssammlungen entfernen
3. Aktivieren/Deaktivieren von EMS unter Windows 10/Windows Server

Beachten Sie, dass die Problemumgehungen Nachteile haben, insbesondere aus Sicherheitsgründen.

1] Aktivieren Sie EMS auf Client und Server

Da wir wissen, dass das Problem nicht auftritt, wenn auf beiden Seiten EMS installiert ist, liegt die Lösung auf der Hand.  Obwohl EMS standardmäßig für jede Version nach dem 8. Oktober 2019 aktiviert ist, stellen Sie andernfalls sicher, dass Unterstützung für Extend Master Secret (EMS)-Erweiterung aktivieren.

Wenn Sie ein IT-Administrator sind, stellen Sie sicher, dass Sie die EMS-Wiederaufnahme gemäß RFC 7627 vollständig unterstützen.

2] TLS_DHE_*-Verschlüsselungssammlungen entfernen

Wenn das Betriebssystem EMS nicht unterstützt, muss der IT-Administrator TLS_DHE_*-Verschlüsselungssammlungen aus der Verschlüsselungssammlungsliste im Betriebssystem des TLS-Clientgeräts entfernen remove. Vollständige Dokumentation für Prioritizing Schannel Cipher Suites ist verfügbar.

Dies ist jedoch eine vorübergehende Lösung, und das Deaktivieren bedeutet nur, dass Sie einen Man-in-the-Middle-Angriff einladen

3] Aktivieren/Deaktivieren von EMS unter Windows 10/Windows Server

Wenn Sie aufgrund eines TLS-Problems EMS auf Ihrem Computer deaktiviert haben, verwenden Sie die Registrierungseinstellungen sowohl auf dem Server als auch auf dem Client, um es zu aktivieren.

• Registrierungseditor öffnen
• Navigieren Sie zu HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
  • Auf TLS-Server: DisableServerExtendedMasterSecret: 0
  • Auf TLS-Client: DisableClientExtendedMasterSecret: 0

Wenn sie nicht verfügbar sind, können Sie sie erstellen.

Ich hoffe, diese Problemumgehungen waren hilfreich, um das Problem, mit dem Sie mit TLS konfrontiert sind, vorübergehend zu beheben. Behalten Sie die Updates im Auge, die zur Behebung dieses Problems bereitgestellt werden