Jeśli masz problemy z błędami TLS i przekroczeniami limitów czasu w systemie Windows, jest kilka rzeczy, które możesz zrobić, aby obejść ten problem. Najpierw spróbuj zwiększyć wartość limitu czasu TLS w rejestrze. Aby to zrobić, otwórz Edytor rejestru (regedit.exe) i przejdź do następującego klucza: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters Następnie utwórz nową wartość DWORD o nazwie „EnableTls11” i ustaw ją na 1. Jeśli to nie zadziała, możesz spróbować wyłączyć TLS 1.0. Aby to zrobić, otwórz Edytor rejestru i przejdź do następującego klucza: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols Następnie utwórz nową wartość DWORD dla każdego z następujących protokołów i ustaw je na 0: PCT 1.0 SSL 2.0 SSL 3.0 TLS 1.0 Wreszcie, jeśli wszystko inne zawiedzie, możesz spróbować ponownie zainstalować sterowniki karty sieciowej. Zwykle jest to ostateczność, ale czasami może rozwiązać problemy z TLS. Jeśli masz problemy z błędami TLS i przekroczeniami limitów czasu w systemie Windows, jest kilka rzeczy, które możesz zrobić, aby obejść ten problem. Najpierw spróbuj zwiększyć wartość limitu czasu TLS w rejestrze. Aby to zrobić, otwórz Edytor rejestru (regedit.exe) i przejdź do następującego klucza: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters Następnie utwórz nową wartość DWORD o nazwie „EnableTls11” i ustaw ją na 1. Jeśli to nie zadziała, możesz spróbować wyłączyć TLS 1.0. Aby to zrobić, otwórz Edytor rejestru i przejdź do następującego klucza: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols Następnie utwórz nową wartość DWORD dla każdego z następujących protokołów i ustaw je na 0: PCT 1.0 SSL 2.0 SSL 3.0 TLS 1.0 Wreszcie, jeśli wszystko inne zawiedzie, możesz spróbować ponownie zainstalować sterowniki karty sieciowej. Zwykle jest to ostateczność, ale czasami może rozwiązać problemy z TLS.
rozmawialiśmy o Uścisk dłoni TLS i jak może się nie udać. Zauważyliśmy również, że wiele błędów TLS było spowodowanych próbami naprawy przez Microsoft. Aktualizacja zabezpieczeń CVE-2019-1318 spowodowała niedawne wycofanie dla TLS i SSL. Spowodowało to, że połączenia TLS sporadycznie kończyły się niepowodzeniem lub trwały długo, co skutkowało przekroczeniem limitu czasu. W tym poście udostępnimy obejścia błędów TLS i przekroczenia limitu czasu w systemach Windows.
Następujące błędy są typowe z powodu tego ciągłego problemu:
- Żądanie zostało przerwane: nie udało się utworzyć bezpiecznego kanału SSL/TLS.
- Błąd 0x8009030f
- W dzienniku zdarzeń systemowych zarejestrowano błąd dla zdarzenia SCHANNEL 36887 z kodem ostrzeżenia 20 i opisem: „Odebrano krytyczne ostrzeżenie ze zdalnego punktu końcowego. Fatalny kod ostrzegawczy według protokołu TLS - 20.? '
Które wersje systemu Windows są podatne na awarie protokołu TLS?
Luka może dać osobie atakującej szansę na przeprowadzenie ataku typu man-in-the-middle. Zostało to naprawione przez aktualizację i skutkowało błędami TLS i przekroczeniem limitu czasu w systemach Windows.
Microsoft zauważył, że dzieje się tak tylko wtedy, gdy urządzenia próbują ustanowić połączenia TLS z urządzeniami, które nie obsługują rozszerzenia Extended Master Secret. Jeśli urządzenia mają obsługiwaną wersję, tak się nie dzieje. Oto wersje systemu Windows, których obecnie dotyczy problem:
- Windows 10 wersja 1607
- Windows Serwer 2016
- Okna 10
- Windows 8.1
- Windows Serwer 2012 R2
- Windows Serwer 2012
- Service Pack 1 dla systemu Windows 7
- Dodatek Service Pack 1 dla systemu Windows Server 2008 R2
- Dodatek Service Pack 2 dla systemu Windows Server 2008
Lista aktualizacji systemu Windows, na które wpływ ma aktualizacja zabezpieczeń
Ten problem może wystąpić we wszystkich najnowszych aktualizacjach zbiorczych (LCU) lub comiesięcznych pakietach zbiorczych wydanych 8 października 2019 r. lub później dla platform, których dotyczy problem:
- KB4517389 LCU dla systemu Windows 10 w wersji 1903.
- KB4519338 LCU dla systemu Windows 10 w wersji 1809 i Windows Server 2019.
- KB4520008 LCU dla systemu Windows 10 w wersji 1803.
- KB4520004 LCU dla systemu Windows 10 w wersji 1709.
- KB4520010 LCU dla systemu Windows 10 w wersji 1703.
- KB4519998 LCU dla systemu Windows 10 w wersji 1607 i Windows Server 2016.
- KB4520011 LCU dla systemu Windows 10 w wersji 1507.
- KB4520005 Comiesięczny pakiet zbiorczy aktualizacji dla systemów Windows 8.1 i Windows Server 2012 R2.
- KB4520007 Miesięczny pakiet zbiorczy aktualizacji dla systemu Windows Server 2012.
- KB4519976 Comiesięczny pakiet zbiorczy aktualizacji dla systemu Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1.
- KB4520002 Miesięczny pakiet zbiorczy aktualizacji dla systemu Windows Server 2008 z dodatkiem SP2
- KB4519990 Tylko aktualizacja zabezpieczeń dla systemów Windows 8.1 i Windows Server 2012 R2.
- KB4519985 Aktualizacja zabezpieczeń tylko dla systemów Windows Server 2012 i Windows Embedded 8 Standard.
- KB4520003 Tylko aktualizacja zabezpieczeń dla systemu Windows 7 z dodatkiem SP1 i Windows Server 2008 R2 z dodatkiem SP1
- KB4520009 Tylko aktualizacja zabezpieczeń dla systemu Windows Server 2008 z dodatkiem SP2
Obejścia błędów TLS i przekroczenia limitu czasu w systemie Windows
Według Microsoftu istnieje trzy drogi naprawić awarie i przekroczenia limitu czasu TLS.
- Włącz EMS zarówno na kliencie, jak i na serwerze
- Usuń zestawy szyfrów TLS_DHE_*
- Włącz / wyłącz EMS w Windows 10 / Windows Server
Należy pamiętać, że obejścia mają wady, zwłaszcza pod względem bezpieczeństwa.
1] Włącz EMS zarówno na kliencie, jak i na serwerze
Jak wiemy, jeśli EMS jest zainstalowany po obu stronach, to nie ma problemu, więc rozwiązanie jest oczywiste. Chociaż usługa EMS jest domyślnie włączona we wszystkich wersjach wydanych po 8 października 2019 r., w przeciwnym razie należy to zapewnić Włącz obsługę rozszerzenia Extend Master Secret (EMS).
Jeśli jesteś administratorem IT, upewnij się, że obsługujesz odnawianie EMS zgodnie z definicją RFC7627 w pełni.
2] Usuń zestawy szyfrów TLS_DHE_*
Jeśli system operacyjny nie obsługuje EMS, administrator IT musi usunąć zestawy szyfrów TLS_DHE_* z listy zestawów szyfrów w systemie operacyjnym urządzenia klienckiego TLS. Kompletna dokumentacja dot Priorytetowe zestawy szyfrów Schannel dostępny.
Jest to jednak tymczasowa poprawka, a wyłączenie ich oznacza jedynie, że zapraszasz do ataku typu man-in-the-middle.
czy aktualizacja java jest bezpieczna
3] Włącz / wyłącz EMS w Windows 10 / Windows Server
Jeśli z powodu jakiegoś problemu z TLS wyłączyłeś EMS na swoim komputerze, użyj ustawień rejestru zarówno na serwerze, jak i kliencie, aby go włączyć.
- otwarty Edytor rejestru
- Przejdź do HKLM System CurrentControlSet Control SecurityProviders Schannel
- Do serwerów TLS: DisableServerExtendedMasterSecret: 0
- Na kliencie TLS: DisableClientExtendedMasterSecret: 0
Jeśli nie są dostępne, możesz je utworzyć.
Pobierz PC Repair Tool, aby szybko znaleźć i automatycznie naprawić błędy systemu WindowsMam nadzieję, że te obejścia były pomocne w tymczasowym rozwiązaniu problemu z TLS. Bądź na bieżąco z aktualizacjami, które zostaną wydane w celu rozwiązania tego problemu.