Řešení selhání TLS, časové limity v systémech Windows

Mluvili jsme o TLS handshake, a jak to může selhat. Také jsme označili, že se stalo mnoho selhání TLS, protože se Microsoft pokusil něco opravit. Aktualizace zabezpečení CVE-2019-1318 způsobila, že ta nejnovější byla zavedena pro TLS a SSL. Výsledkem je, že připojení TLS občas selhává nebo trvá dlouho a výsledkem je časový limit. V tomto příspěvku budeme sdílet řešení pro TLS Selhání a Časové limity v systémech Windows.

Následující chyby jsou běžné kvůli tomuto přetrvávajícímu problému:

• Požadavek byl zrušen: Nelze vytvořit zabezpečený kanál SSL / TLS
• Chyba 0x8009030f
• Chyba zaznamenaná v protokolu systémových událostí pro událost SCHANNEL 36887 s výstražným kódem 20 a popisem: „Byla přijata závažná výstraha ze vzdáleného koncového bodu. Fatální výstražný kód definovaný protokolem TLS je 20.?“

Které verze systému Windows jsou ovlivněny selháním protokolu TLS?

Tato chyba zabezpečení může dát útočníkovi šanci provést útok typu man-in-the-middle. To opravila aktualizace a vyústilo to v TLS Selhání, Časové limity v systémech Windows.

Microsoft poukázal na to, že k tomu dochází pouze v případě, že se zařízení pokouší navázat připojení TLS k zařízením bez podpory rozšíření Extended Master Secret. Pokud mají zařízení podporovanou verzi, nedojde k ní. Zde jsou nyní ovlivněné verze systému Windows:

1. Windows 10 verze 1607
2. Windows Server 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Windows Server 2012
7. Windows 7 Service Pack 1
8. Windows Server 2008 R2 Service Pack 1
9. Windows Server 2008 Service Pack 2

Seznam aktualizací systému Windows je ovlivněn kvůli aktualizaci zabezpečení

K tomuto problému může dojít u jakékoli nejnovější kumulativní aktualizace (LCU) nebo kumulativních měsíčních aktualizací vydaných 8. října 2019 nebo později pro postižené platformy:

1. KB4517389 LCU pro Windows 10, verze 1903.
2. KB4519338 LCU pro Windows 10, verze 1809 a Windows Server 2019.
3. KB4520008 LCU pro Windows 10, verze 1803.
4. KB4520004 LCU pro Windows 10, verze 1709.
5. KB4520010 LCU pro Windows 10, verze 1703.
6. KB4519998 LCU pro Windows 10, verze 1607 a Windows Server 2016.
7. KB4520011 LCU pro Windows 10, verze 1507.
8. KB4520005 Měsíční kumulativní aktualizace pro Windows 8.1 a Windows Server 2012 R2.
9. KB4520007 Měsíční kumulativní aktualizace pro Windows Server 2012.
10. KB4519976 Měsíční kumulativní aktualizace pro Windows 7 SP1 a Windows Server 2008 R2 SP1.
11. KB4520002 Měsíční kumulativní aktualizace pro Windows Server 2008 SP2
12. KB4519990 Aktualizace pouze pro zabezpečení pro Windows 8.1 a Windows Server 2012 R2.
13. KB4519985 Aktualizace pouze pro zabezpečení pro Windows Server 2012 a Windows Embedded 8 Standard.
14. KB4520003 Aktualizace pouze pro zabezpečení pro Windows 7 SP1 a Windows Server 2008 R2 SP1
15. KB4520009 Aktualizace pouze pro zabezpečení pro Windows Server 2008 SP2

Řešení selhání TLS, časové limity v systému Windows

Podle společnosti Microsoft existují tři způsoby, jak opravit selhání TLS a vypršení časového limitu.

1. Povolte EMS na klientovi i serveru
2. Odeberte šifrovací sady TLS_DHE_ *
3. Povolit / Zakázat EMS na Windows 10 / Windows Server

Uvědomte si, že existují alternativní řešení, zejména z hlediska zabezpečení.

1] Povolte EMS na klientovi i serveru

Jak víme, že pokud mají obě strany nainstalovaný EMS, problém se nevyskytuje, takže řešení je zřejmé.  Zatímco EMS je ve výchozím nastavení povoleno pro jakékoli vydání po 8. říjnu 2019, pokud ne, nezapomeňte Povolte podporu pro rozšíření Extend Master Secret (EMS).

Pokud jste správcem IT, nezapomeňte plně podporovat obnovení EMS, jak je definováno v RFC 7627.

2] Odeberte šifrovací sady TLS_DHE_ *

Pokud operační systém nepodporuje EMS, musí správce IT odebrat šifrovací sady TLS_DHE_ * ze seznamu šifrovacích sad v operačním systému klientského zařízení TLS. Kompletní dokumentace pro stanovení priorit Schannel Cipher Suite je k dispozici.

To znamená, že se jedná o dočasnou opravu a jejich deaktivace znamená pouze to, že pozvete útok typu man-in-the-middle

3] Povolit / Zakázat EMS na Windows 10 / Windows Server

Pokud jste při jakémkoli problému s TLS deaktivovali EMS ve svém počítači, využijte nastavení registru na serveru i v klientovi a povolte jej.

• Otevřete Editor registru
• Přejděte na HKLM \ System \ CurrentControlSet \ Control \ SecurityProviders \ Schannel
  • Na serveru TLS: DisableServerExtendedMasterSecret: 0
  • Na klientovi TLS: DisableClientExtendedMasterSecret: 0

Pokud nejsou k dispozici, můžete je vytvořit.

Doufám, že tato zástupná řešení byla užitečná k dočasnému vyřešení problému, kterému čelíte s TLS. Sledujte problém s aktualizacemi, které tento problém vyřeší