Penyelesaian untuk Kegagalan TLS, Timeout dalam sistem Windows

Kami telah membincangkan mengenai Jabat tangan TLS, dan bagaimana ia boleh gagal. Kami juga menandakan bahawa banyak kegagalan TLS telah berlaku kerana Microsoft cuba memperbaiki sesuatu. Keselamatan yang dikemas kini CVE-2019-1318 menyebabkan yang baru dilancarkan untuk TLS dan SSL. Ini telah menyebabkan sambungan TLS sesekali gagal atau memakan masa yang lama dan mengakibatkan tamat masa. Dalam catatan ini, kami akan berkongsi kaedah penyelesaian untuk TLS Failures and Timeout dalam sistem Windows.

Kesalahan berikut adalah perkara biasa kerana masalah ini berterusan:

• Permintaan dibatalkan: Tidak dapat membuat Saluran selamat SSL / TLS
• Ralat 0x8009030f
• Kesalahan dilog masuk dalam Log Peristiwa Sistem untuk peristiwa SCHANNEL 36887 dengan kod amaran 20 dan keterangannya, "Makluman maut diterima dari titik akhir terpencil. Protokol TLS yang ditentukan kod amaran maut adalah 20.?"

Versi Windows mana yang terpengaruh dengan TLS Failures?

Kerentanan dapat memberi peluang kepada penyerang untuk melakukan serangan man-in-the-middle. Ini diperbaiki oleh kemas kini, dan mengakibatkan TLS Failures, Timeout dalam sistem Windows.

Microsoft menunjukkan bahawa ia hanya berlaku apabila peranti berusaha membuat sambungan TLS ke peranti tanpa sokongan untuk sambungan Extended Master Secret. Sekiranya peranti mempunyai versi yang disokong, maka tidak berlaku. Berikut adalah versi Windows yang terpengaruh seperti sekarang:

1. Windows 10 Versi 1607
2. Pelayan Windows 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Pelayan Windows 2012
7. Pek Perkhidmatan Windows 7 1
8. Pek Perkhidmatan Windows Server 2008 R2 1
9. Pek Perkhidmatan Windows Server 2008 2

Senarai Kemas kini Windows terpengaruh kerana kemas kini keselamatan

Sebarang kemas kini kumulatif terbaru (LCU) atau Rollup Bulanan yang dikeluarkan pada 8 Oktober 2019 atau lebih baru untuk platform yang terjejas mungkin mengalami masalah ini:

1. KB4517389 LCU untuk Windows 10, versi 1903.
2. KB4519338 LCU untuk Windows 10, versi 1809, dan Windows Server 2019.
3. KB4520008 LCU untuk Windows 10, versi 1803.
4. KB4520004 LCU untuk Windows 10, versi 1709.
5. KB4520010 LCU untuk Windows 10, versi 1703.
6. KB4519998 LCU untuk Windows 10, versi 1607, dan Windows Server 2016.
7. KB4520011 LCU untuk Windows 10, versi 1507.
8. Rollup Bulanan KB4520005 untuk Windows 8.1 dan Windows Server 2012 R2.
9. KB4520007 Rollup Bulanan untuk Windows Server 2012.
10. KB4519976 Rollup Bulanan untuk Windows 7 SP1 dan Windows Server 2008 R2 SP1.
11. KB4520002 Rollup Bulanan untuk Windows Server 2008 SP2
12. KB4519990 Kemas kini keselamatan sahaja untuk Windows 8.1 dan Windows Server 2012 R2.
13. KB4519985 Kemas kini keselamatan sahaja untuk Windows Server 2012 dan Windows Embedded 8 Standard.
14. KB4520003 Kemas kini keselamatan sahaja untuk Windows 7 SP1 dan Windows Server 2008 R2 SP1
15. KB4520009 Kemas kini keselamatan sahaja untuk Windows Server 2008 SP2

Penyelesaian untuk Kegagalan TLS, Timeout pada Windows

Menurut Microsoft, terdapat tiga cara untuk memperbaiki kegagalan dan waktu tamat TLS.

1. Dayakan EMS pada kedua-dua pelanggan dan pelayan
2. Keluarkan suite cipher TLS_DHE_ *
3. Aktifkan / Lumpuhkan EMS pada Windows 10 / Windows Server

Ketahuilah bahawa terdapat kelemahan penyelesaiannya, terutamanya dari sudut keselamatan.

1] Aktifkan EMS pada pelanggan dan pelayan

Seperti yang kita ketahui bahawa jika kedua-dua belah pihak memasang EMS, maka masalahnya tidak berlaku, jadi penyelesaiannya sudah jelas.  Walaupun EMS telah diaktifkan secara lalai untuk pelepasan apa pun selepas 8 Oktober 2019, jika tidak, pastikan untuk melakukannya Dayakan sokongan untuk sambungan Extend Master Secret (EMS).

Sekiranya anda seorang pentadbir IT, pastikan untuk menyokong penyambungan semula EMS seperti yang ditentukan oleh RFC 7627 sepenuhnya.

2] Keluarkan suite cipher TLS_DHE_ *

Sekiranya sistem operasi tidak menyokong EMS, maka pentadbir IT perlu membuang suite cipher TLS_DHE_ * dari senarai suite cipher dalam OS peranti klien TLS. Dokumentasi lengkap untuk Mengutamakan Schannel Cipher Suites ada.

Yang mengatakan, ini adalah penyelesaian sementara, dan melumpuhkannya hanya bermaksud anda mengundang serangan lelaki-di-tengah-tengah

3] Aktifkan / Lumpuhkan EMS pada Windows 10 / Windows Server

Sekiranya, untuk sebarang masalah TLS, anda telah mematikan EMS di komputer anda, kemudian gunakan tetapan pendaftaran pada kedua-dua pelayan dan klien untuk mengaktifkannya.

• Buka Editor Pendaftaran
• Navigasi ke HKLM \ System \ CurrentControlSet \ Control \ SecurityProviders \ Schannel
  • Pada Pelayan TLS: DisableServerExtendedMasterSecret: 0
  • Pada Pelanggan TLS: DisableClientExtendedMasterSecret: 0

Sekiranya tidak tersedia, anda boleh membuatnya.

Saya harap penyelesaian ini berguna untuk menyelesaikan masalah yang anda hadapi dengan TLS buat sementara waktu. Awasi kemas kini yang akan dilancarkan untuk menyelesaikan masalah ini