Riešenie zlyhaní TLS, časové limity v systémoch Windows

Hovorili sme o TLS podanie ruky, a ako to môže zlyhať. Tiež sme označili, že sa stalo veľa zlyhaní TLS, pretože Microsoft sa pokúsil niečo napraviť. Aktualizácia zabezpečenia CVE-2019-1318 spôsobila, že sa posledná zaviedla pre TLS a SSL. Výsledkom je prerušované zlyhanie alebo trvanie spojenia TLS, ktoré má za následok časový limit. V tomto príspevku budeme zdieľať riešenia zlyhaní a časových limitov TLS v systémoch Windows.

Nasledujúce chyby sú bežné kvôli tomuto pretrvávajúcemu problému:

• Požiadavka bola zrušená: Nepodarilo sa vytvoriť zabezpečený kanál SSL / TLS
• Chyba 0x8009030f
• Do protokolu systémových udalostí pre udalosť SCHANNEL 36887 zaznamenaná chyba s výstražným kódom 20 a popisom: „Zo vzdialeného koncového bodu bola prijatá závažná výstraha. Fatálny výstražný kód definovaný protokolom TLS je 20.?“

Na ktoré verzie systému Windows majú chyby TLS vplyv?

Zraniteľnosť môže dať útočníkovi šancu na útok typu man-in-the-middle. To aktualizácia napravila a v systémoch Windows to malo za následok zlyhania TLS, časové limity.

Microsoft poukázal na to, že k tomu dôjde, iba keď sa zariadenia pokúšajú nadviazať spojenie TLS so zariadeniami bez podpory rozšírenia Extended Master Secret. Pokiaľ majú zariadenia podporovanú verziu, tak k nej nedôjde. Tu sú teraz ovplyvnené verzie systému Windows:

1. Windows 10 verzia 1607
2. Windows Server 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Windows Server 2012
7. Windows 7 Service Pack 1
8. Windows Server 2008 R2 Service Pack 1
9. Windows Server 2008 Service Pack 2

Zoznam aktualizácií systému Windows bude ovplyvnený aktualizáciou zabezpečenia

Tento problém sa môže vyskytnúť v akejkoľvek najnovšej kumulatívnej aktualizácii (LCU) alebo mesačných súhrnných aktualizáciách vydaných 8. októbra 2019 alebo neskôr pre príslušné platformy:

1. KB4517389 LCU pre Windows 10, verzia 1903.
2. KB4519338 LCU pre Windows 10, verzia 1809 a Windows Server 2019.
3. KB4520008 LCU pre Windows 10, verzia 1803.
4. KB4520004 LCU pre Windows 10, verzia 1709.
5. KB4520010 LCU pre Windows 10, verzia 1703.
6. KB4519998 LCU pre Windows 10, verzia 1607 a Windows Server 2016.
7. KB4520011 LCU pre Windows 10, verzia 1507.
8. KB4520005 Mesačná súhrnná aktualizácia pre Windows 8.1 a Windows Server 2012 R2.
9. KB4520007 Mesačná súhrnná aktualizácia pre Windows Server 2012.
10. KB4519976 mesačná súhrnná aktualizácia pre systémy Windows 7 SP1 a Windows Server 2008 R2 SP1.
11. KB4520002 Mesačná súhrnná aktualizácia pre Windows Server 2008 SP2
12. KB4519990 Iba aktualizácia zabezpečenia pre systém Windows 8.1 a Windows Server 2012 R2.
13. KB4519985 Aktualizácia iba na zabezpečenie pre systémy Windows Server 2012 a Windows Embedded 8 Standard.
14. KB4520003 Aktualizácia iba na zabezpečenie pre Windows 7 SP1 a Windows Server 2008 R2 SP1
15. KB4520009 Aktualizácia iba na zabezpečenie pre Windows Server 2008 SP2

Riešenie zlyhaní TLS, časové limity v systéme Windows

Podľa spoločnosti Microsoft existujú tri spôsoby, ako opraviť zlyhania a časové limity TLS.

1. Povoľte EMS na klientovi aj serveri
2. Odstráňte šifrovacie sady TLS_DHE_ *
3. Povoliť / zakázať EMS na Windows 10 / Windows Server

Uvedomte si, že riešenia majú nevýhody, najmä z hľadiska bezpečnosti.

1] Povoliť EMS na klientovi aj serveri

Ako vieme, že ak majú obe strany nainštalovaný EMS, problém sa nevyskytuje, takže riešenie je zrejmé.  Aj keď je EMS predvolene povolený pre akékoľvek vydanie po 8. októbri 2019, ak nie, nezabudnite Povoliť podporu pre rozšírenie Extend Master Secret (EMS).

Ak ste správcom IT, nezabudnite plne podporovať obnovenie EMS, ako je definované v RFC 7627.

2] Odstráňte šifrovacie sady TLS_DHE_ *

Ak operačný systém nepodporuje EMS, potom musí správca IT odstrániť šifrovacie sady TLS_DHE_ * zo zoznamu šifrovacích balíkov v OS klientskeho zariadenia TLS. Kompletná dokumentácia pre stanovenie priorít Schannel Cipher Suites je k dispozícii.

To znamená, že ide o dočasnú opravu. Ich deaktivácia znamená, že pozývate útok typu man-in-the-middle

3] Povoliť / Zakázať EMS na Windows 10 / Windows Server

Ak ste pri akomkoľvek probléme s TLS zakázali EMS vo svojom počítači, využite nastavenie databázy Registry na serveri aj na klientovi a povoľte ho.

• Otvorte editor databázy Registry
• Prejdite na HKLM \ System \ CurrentControlSet \ Control \ SecurityProviders \ Schannel
  • Na serveri TLS: DisableServerExtendedMasterSecret: 0
  • V klientovi TLS: DisableClientExtendedMasterSecret: 0

Ak nie sú k dispozícii, môžete ich vytvoriť.

Dúfam, že tieto riešenia boli užitočné na dočasné vyriešenie problému, s ktorým sa stretávate pri protokole TLS. Dávajte pozor na aktualizácie, ktoré sa objavia na vyriešenie tohto problému