Λύσεις για αποτυχίες TLS και χρονικά όρια σε συστήματα Windows

Εάν αντιμετωπίζετε προβλήματα με αποτυχίες TLS και χρονικά όρια στο σύστημά σας Windows, υπάρχουν μερικά πράγματα που μπορείτε να κάνετε για να επιλύσετε το πρόβλημα. Αρχικά, δοκιμάστε να αυξήσετε την τιμή χρονικού ορίου λήξης TLS στο μητρώο σας. Για να το κάνετε αυτό, ανοίξτε τον Επεξεργαστή Μητρώου (regedit.exe) και μεταβείτε στο ακόλουθο κλειδί: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters Στη συνέχεια, δημιουργήστε μια νέα τιμή DWORD που ονομάζεται 'EnableTls11' και ορίστε την σε 1. Εάν αυτό δεν λειτουργήσει, μπορείτε να δοκιμάσετε να απενεργοποιήσετε το TLS 1.0. Για να το κάνετε αυτό, ανοίξτε τον Επεξεργαστή Μητρώου και μεταβείτε στο ακόλουθο κλειδί: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols Στη συνέχεια, δημιουργήστε μια νέα τιμή DWORD για καθένα από τα ακόλουθα πρωτόκολλα και ορίστε τα σε 0: PCT 1.0 SSL 2.0 SSL 3.0 TLS 1.0 Τέλος, εάν όλα τα άλλα αποτύχουν, μπορείτε να δοκιμάσετε να εγκαταστήσετε ξανά τα προγράμματα οδήγησης του προσαρμογέα δικτύου σας. Αυτή είναι συνήθως η τελευταία λύση, αλλά μερικές φορές μπορεί να διορθώσει προβλήματα με το TLS. Εάν αντιμετωπίζετε προβλήματα με αποτυχίες TLS και χρονικά όρια στο σύστημά σας Windows, υπάρχουν μερικά πράγματα που μπορείτε να κάνετε για να επιλύσετε το πρόβλημα. Αρχικά, δοκιμάστε να αυξήσετε την τιμή χρονικού ορίου λήξης TLS στο μητρώο σας. Για να το κάνετε αυτό, ανοίξτε τον Επεξεργαστή Μητρώου (regedit.exe) και μεταβείτε στο ακόλουθο κλειδί: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters Στη συνέχεια, δημιουργήστε μια νέα τιμή DWORD που ονομάζεται 'EnableTls11' και ορίστε την σε 1. Εάν αυτό δεν λειτουργήσει, μπορείτε να δοκιμάσετε να απενεργοποιήσετε το TLS 1.0. Για να το κάνετε αυτό, ανοίξτε τον Επεξεργαστή Μητρώου και μεταβείτε στο ακόλουθο κλειδί: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols Στη συνέχεια, δημιουργήστε μια νέα τιμή DWORD για καθένα από τα ακόλουθα πρωτόκολλα και ορίστε τα σε 0: PCT 1.0 SSL 2.0 SSL 3.0 TLS 1.0 Τέλος, εάν όλα τα άλλα αποτύχουν, μπορείτε να δοκιμάσετε να εγκαταστήσετε ξανά τα προγράμματα οδήγησης του προσαρμογέα δικτύου σας. Αυτή είναι συνήθως η τελευταία λύση, αλλά μερικές φορές μπορεί να διορθώσει προβλήματα με το TLS.

μιλούσαμε για Χειραψία TLS και πώς μπορεί να αποτύχει. Σημειώσαμε επίσης ότι πολλές αποτυχίες του TLS οφείλονταν στην προσπάθεια της Microsoft να διορθώσει τα πράγματα. Η ενημέρωση ασφαλείας CVE-2019-1318 είχε ως αποτέλεσμα μια πρόσφατη επαναφορά για το TLS και το SSL. Αυτό είχε ως αποτέλεσμα οι συνδέσεις TLS να αποτυγχάνουν κατά διαστήματα ή να διαρκούν πολύ, με αποτέλεσμα ένα χρονικό όριο. Σε αυτήν την ανάρτηση, θα μοιραστούμε λύσεις για αποτυχίες TLS και χρονικά όρια σε συστήματα Windows.

Τα ακόλουθα σφάλματα είναι κοινά λόγω αυτού του συνεχιζόμενου ζητήματος:

• Το αίτημα ματαιώθηκε: Απέτυχε η δημιουργία ασφαλούς καναλιού SSL/TLS.
• Σφάλμα 0x8009030f
• Καταγράφηκε ένα σφάλμα στο αρχείο καταγραφής συμβάντων συστήματος για το συμβάν SCHANNEL 36887 με κωδικό προειδοποίησης 20 και περιγραφή: «Λήφθηκε μια κρίσιμη προειδοποίηση από το απομακρυσμένο τελικό σημείο. Θανατηφόρος κωδικός προειδοποίησης από το πρωτόκολλο TLS - 20.? '

Ποιες εκδόσεις των Windows είναι επιρρεπείς σε αποτυχίες TLS;

Η ευπάθεια θα μπορούσε να δώσει σε έναν εισβολέα την ευκαιρία να εξαπολύσει μια επίθεση man-in-the-middle. Αυτό διορθώθηκε με μια ενημέρωση και είχε ως αποτέλεσμα αποτυχίες TLS και χρονικά όρια στα συστήματα Windows.

Η Microsoft σημείωσε ότι αυτό συμβαίνει μόνο όταν οι συσκευές επιχειρούν να δημιουργήσουν συνδέσεις TLS σε συσκευές που δεν υποστηρίζουν την επέκταση Extended Master Secret. Εάν οι συσκευές έχουν υποστηριζόμενη έκδοση, τότε αυτό δεν συμβαίνει. Ακολουθούν οι εκδόσεις των Windows που επηρεάζονται αυτήν τη στιγμή:

1. Windows 10 έκδοση 1607
2. Windows Server 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Windows Server 2012
7. Service Pack 1 για Windows 7
8. Service Pack 1 για Windows Server 2008 R2
9. Service Pack 2 για Windows Server 2008

Η λίστα ενημερώσεων των Windows επηρεάζεται λόγω ενημέρωσης ασφαλείας

Οποιαδήποτε πιο πρόσφατη αθροιστική ενημέρωση (LCU) ή μηνιαίες συγκεντρώσεις που κυκλοφόρησαν στις ή μετά τις 8 Οκτωβρίου 2019 για πλατφόρμες που επηρεάζονται ενδέχεται να αντιμετωπίσουν αυτό το ζήτημα:

1. KB4517389 LCU για Windows 10 έκδοση 1903.
2. KB4519338 LCU για Windows 10 έκδοση 1809 και Windows Server 2019.
3. KB4520008 LCU για Windows 10 έκδοση 1803.
4. KB4520004 LCU για Windows 10 έκδοση 1709.
5. KB4520010 LCU για Windows 10 έκδοση 1703.
6. KB4519998 LCU για Windows 10 έκδοση 1607 και Windows Server 2016.
7. KB4520011 LCU για Windows 10 έκδοση 1507.
8. KB4520005 Μηνιαία συλλογή ενημερώσεων για Windows 8.1 και Windows Server 2012 R2.
9. KB4520007 Μηνιαία συλλογή ενημερώσεων για Windows Server 2012.
10. KB4519976 Μηνιαία συλλογή ενημερώσεων για Windows 7 SP1 και Windows Server 2008 R2 SP1.
11. KB4520002 Μηνιαία συλλογή ενημερώσεων για Windows Server 2008 SP2
12. KB4519990 Ενημερωμένη έκδοση μόνο για την ασφάλεια για Windows 8.1 και Windows Server 2012 R2.
13. KB4519985 Ενημερωμένη έκδοση ασφαλείας μόνο για Windows Server 2012 και Windows Embedded 8 Standard.
14. KB4520003 Ενημερωμένη έκδοση μόνο ασφαλείας για Windows 7 SP1 και Windows Server 2008 R2 SP1
15. KB4520009 Ενημερωμένη έκδοση μόνο ασφαλείας για Windows Server 2008 SP2

Λύσεις για αποτυχίες TLS και χρονικά όρια στα Windows

Σύμφωνα με τη Microsoft, εκεί τρεις τρόπους για τη διόρθωση σφαλμάτων TLS και χρονικών ορίων.

1. Ενεργοποιήστε το EMS τόσο στον πελάτη όσο και στον διακομιστή
2. Διαγράψτε τις σουίτες κρυπτογράφησης TLS_DHE_*
3. Ενεργοποίηση / απενεργοποίηση του EMS σε Windows 10 / Windows Server

Λάβετε υπόψη ότι οι λύσεις έχουν μειονεκτήματα, ειδικά όσον αφορά την ασφάλεια.

1] Ενεργοποιήστε το EMS τόσο στον πελάτη όσο και στον διακομιστή

Όπως γνωρίζουμε, εάν το EMS είναι εγκατεστημένο και στις δύο πλευρές, τότε δεν υπάρχει πρόβλημα, οπότε η λύση είναι προφανής. Αν και το EMS είναι ενεργοποιημένο από προεπιλογή για όλες τις εκδόσεις μετά τις 8 Οκτωβρίου 2019, διαφορετικά βεβαιωθείτε ότι Ενεργοποιήστε την υποστήριξη για την επέκταση Extend Master Secret (EMS).

Εάν είστε διαχειριστής IT, βεβαιωθείτε ότι υποστηρίζετε την ανανέωση EMS όπως ορίζεται RFC 7627 πλήρως.

2] Καταργήστε τις σουίτες κρυπτογράφησης TLS_DHE_*

Εάν το λειτουργικό σύστημα δεν υποστηρίζει EMS, ο διαχειριστής IT πρέπει να αφαιρέσει τις σουίτες κρυπτογράφησης TLS_DHE_* από τη λίστα με τις σουίτες κρυπτογράφησης στο λειτουργικό σύστημα της συσκευής-πελάτη TLS. Πλήρη τεκμηρίωση για Priority Schannel Cipher Suites διαθέσιμος.

Ωστόσο, αυτή είναι μια προσωρινή διόρθωση και η απενεργοποίησή τους σημαίνει μόνο ότι προσκαλείτε μια επίθεση man-in-the-middle.

είναι ασφαλής η ενημέρωση java

3] Ενεργοποίηση/απενεργοποίηση EMS σε Windows 10/Windows Server

Εάν, λόγω κάποιου προβλήματος με το TLS, έχετε απενεργοποιήσει το EMS στον υπολογιστή σας, χρησιμοποιήστε τις ρυθμίσεις μητρώου τόσο στον διακομιστή όσο και στο πρόγραμμα-πελάτη για να το ενεργοποιήσετε.

• Άνοιξε Επεξεργαστής Μητρώου
• Μεταβείτε στο πρόγραμμα HKLM System CurrentControlSet Control SecurityProviders Schannel
  • Σε διακομιστές TLS: DisableServerExtendedMasterSecret: 0
  • Σε πρόγραμμα-πελάτη TLS: DisableClientExtendedMasterSecret: 0

Εάν δεν είναι διαθέσιμα, μπορείτε να τα δημιουργήσετε.

Ελπίζω ότι αυτές οι λύσεις ήταν χρήσιμες για την προσωρινή επίλυση του προβλήματος που αντιμετωπίζετε με το TLS. Μείνετε συντονισμένοι για ενημερώσεις που θα κυκλοφορήσουν για την αντιμετώπιση αυτού του ζητήματος.