Lösningar för TLS-fel, timeouts i Windows-system

Vi har pratat om TLS handskakning, och hur det kan misslyckas. Vi markerade också att många TLS-fel hade hänt eftersom Microsoft försökte fixa något. En säkerhetsuppdaterad CVE-2019-1318 har orsakat den senaste rullade för TLS och SSL. Det har resulterat i att TLS-anslutningar periodvis misslyckas eller tar lång tid och resulterar i en timeout. I det här inlägget delar vi lösningarna för TLS-fel och tidsavbrott i Windows-system.

Följande fel är vanliga på grund av detta pågående problem:

• Begäran avbröts: Det gick inte att skapa SSL / TLS säker kanal
• Fel 0x8009030f
• Ett fel inloggat i systemhändelseloggen för SCHANNEL-händelse 36887 med varningskod 20 och beskrivningen ”En dödlig varning mottogs från fjärranslutpunkten. TLS-protokollets definierade dödliga varningskod är 20.?”

Vilka versioner av Windows påverkas av TLS-fel?

Sårbarheten kan ge angriparen en chans att utföra en man-i-mitten-attack. Detta åtgärdades genom uppdateringen och det resulterade i TLS-fel, timeouts i Windows-system.

Microsoft påpekade att det bara händer när enheterna försöker skapa TLS-anslutningar till enheter utan stöd för Extended Master Secret-tillägget. Om enheterna har den version som stöds inträffar det inte. Här är de av Windows-versionerna som påverkas från och med nu:

1. Windows 10 version 1607
2. Windows Server 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Windows Server 2012
7. Windows 7 Service Pack 1
8. Windows Server 2008 R2 Service Pack 1
9. Windows Server 2008 Service Pack 2

Listan över Windows-uppdateringar påverkas på grund av säkerhetsuppdateringen

Den senaste kumulativa uppdateringen (LCU) eller månatliga samlade uppdateringar som släpptes den 8 oktober 2019 eller senare för de drabbade plattformarna kan uppleva problemet:

1. KB4517389 LCU för Windows 10, version 1903.
2. KB4519338 LCU för Windows 10, version 1809 och Windows Server 2019.
3. KB4520008 LCU för Windows 10, version 1803.
4. KB4520004 LCU för Windows 10, version 1709.
5. KB4520010 LCU för Windows 10, version 1703.
6. KB4519998 LCU för Windows 10, version 1607 och Windows Server 2016.
7. KB4520011 LCU för Windows 10, version 1507.
8. KB4520005 Månatlig samlad uppdatering för Windows 8.1 och Windows Server 2012 R2.
9. KB4520007 Månatlig samlad uppdatering för Windows Server 2012.
10. KB4519976 Månatlig samlad uppdatering för Windows 7 SP1 och Windows Server 2008 R2 SP1.
11. KB4520002 Månatlig samlad uppdatering för Windows Server 2008 SP2
12. KB4519990 Endast säkerhetsuppdatering för Windows 8.1 och Windows Server 2012 R2.
13. KB4519985 Endast säkerhetsuppdatering för Windows Server 2012 och Windows Embedded 8 Standard.
14. KB4520003 Endast säkerhetsuppdatering för Windows 7 SP1 och Windows Server 2008 R2 SP1
15. KB4520009 Endast säkerhetsuppdatering för Windows Server 2008 SP2

Lösningar för TLS-fel, timeouts i Windows

Enligt Microsoft finns det tre sätt att åtgärda TLS-fel och timeouts.

1. Aktivera EMS på både klient och server
2. Ta bort TLS_DHE_ * krypteringssviter
3. Aktivera / inaktivera EMS på Windows 10 / Windows Server

Var medveten om att det finns nackdelar med lösningarna, särskilt ur säkerhetsperspektivet.

1] Aktivera EMS på både klient och server

Som vi vet att om båda sidor har EMS installerat så uppstår problemet inte så lösningen är uppenbar.  Medan EMS har aktiverats som standard för alla utgåvor efter 8 oktober 2019, om inte, se till att Aktivera stöd för Extend Master Secret (EMS) -tillägg.

Om du är IT-administratör, se till att stödja EMS-återupptagning enligt RFC 7627 helt.

2] Ta bort TLS_DHE_ * krypteringssviter

Om operativsystemet inte stöder EMS måste IT-administratören ta bort TLS_DHE_ * -kodningssviter från krypteringslistan i operativsystemet för TLS-klientenheten. Komplett dokumentation för prioritering av Schannel Cipher Suites finns tillgänglig.

Med det sagt, dessa är en tillfällig fix, och att inaktivera dem betyder bara att du bjuder in en man-i-mitten-attack

3] Aktivera / inaktivera EMS på Windows 10 / Windows Server

Om du har inaktiverat EMS på din dator för ett TLS-problem, använd sedan registerinställningarna på både server och klient för att aktivera det.

• Öppna registerredigeraren
• Navigera till HKLM \ System \ CurrentControlSet \ Control \ SecurityProviders \ Schannel
  • På TLS-server: DisableServerExtendedMasterSecret: 0
  • På TLS-klient: DisableClientExtendedMasterSecret: 0

Om de inte är tillgängliga kan du skapa dem.

Jag hoppas att dessa lösningar var användbara för att lösa problemet du står inför med TLS tillfälligt. Håll koll på uppdateringar som kommer att lanseras för att lösa detta problem