Soluzioni alternative per errori TLS, timeout nei sistemi Windows

Abbiamo parlato di Stretta di mano TLS, e come può fallire. Abbiamo anche segnalato che si sono verificati molti errori TLS perché Microsoft ha provato a risolvere qualcosa. Un CVE-2019-1318 aggiornato di sicurezza ha causato il lancio di quello recente per TLS e SSL. Ha provocato l'interruzione intermittente delle connessioni TLS o l'utilizzo di molto tempo e il conseguente timeout. In questo post, condivideremo le soluzioni alternative per gli errori e i timeout TLS nei sistemi Windows.

I seguenti errori sono comuni a causa di questo problema in corso:

• La richiesta è stata interrotta: impossibile creare un canale sicuro SSL/TLS
• Errore 0x8009030f
• Un errore registrato nel registro eventi di sistema per l'evento SHANNEL 36887 con codice di avviso 20 e la descrizione "È stato ricevuto un avviso irreversibile dall'endpoint remoto. Il codice di avviso fatale definito dal protocollo TLS è 20.?"

Quali versioni di Windows sono interessate da errori TLS?

La vulnerabilità può dare all'attaccante la possibilità di eseguire un attacco man-in-the-middle. Questo problema è stato risolto dall'aggiornamento e ha provocato errori TLS, timeout nei sistemi Windows.

Microsoft ha sottolineato che ciò accade solo quando i dispositivi tentano di effettuare connessioni TLS a dispositivi senza supporto per l'estensione Extended Master Secret Secret. Se i dispositivi hanno la versione supportata, non si verifica. Ecco le versioni di Windows interessate al momento:

1. Windows 10 versione 1607
2. Windows Server 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Windows Server 2012
7. Windows 7 Service Pack 1
8. Windows Server 2008 R2 Service Pack 1
9. Windows Server 2008 Service Pack 2

L'elenco degli aggiornamenti di Windows è interessato dall'aggiornamento della sicurezza

Qualsiasi ultimo aggiornamento cumulativo (LCU) o rollup mensile rilasciato l'8 ottobre 2019 o versioni successive per le piattaforme interessate potrebbe riscontrare questo problema:

1. KB4517389 LCU per Windows 10, versione 1903.
2. KB4519338 LCU per Windows 10, versione 1809 e Windows Server 2019.
3. KB4520008 LCU per Windows 10, versione 1803.
4. KB4520004 LCU per Windows 10, versione 1709.
5. KB4520010 LCU per Windows 10, versione 1703.
6. KB4519998 LCU per Windows 10, versione 1607 e Windows Server 2016.
7. KB4520011 LCU per Windows 10, versione 1507.
8. KB4520005 cumulativo mensile per Windows 8.1 e Windows Server 2012 R2.
9. KB4520007 cumulativo mensile per Windows Server 2012.
10. KB4519976 cumulativo mensile per Windows 7 SP1 e Windows Server 2008 R2 SP1.
11. KB4520002 cumulativo mensile per Windows Server 2008 SP2
12. KB4519990 Aggiornamento solo per la sicurezza per Windows 8.1 e Windows Server 2012 R2.
13. KB4519985 Aggiornamento solo per la sicurezza per Windows Server 2012 e Windows Embedded 8 Standard.
14. KB4520003 Aggiornamento solo per la protezione per Windows 7 SP1 e Windows Server 2008 R2 SP1
15. KB4520009 Aggiornamento solo per la sicurezza per Windows Server 2008 SP2

Soluzioni alternative per errori TLS, timeout in Windows

Secondo Microsoft, ci sono tre modi per correggere errori e timeout TLS.

1. Abilita EMS su client e server
2. Rimuovi suite di crittografia TLS_DHE_*
3. Abilita/Disabilita EMS su Windows 10/Windows Server

Tieni presente che le soluzioni alternative presentano degli svantaggi, soprattutto dal punto di vista della sicurezza.

1] Abilita EMS sia sul client che sul server

Come sappiamo, se entrambe le parti hanno installato EMS, il problema non si verifica, quindi la soluzione è ovvia.  Sebbene EMS sia stato abilitato per impostazione predefinita per qualsiasi versione dopo l'8 ottobre 2019, in caso contrario, assicurati di Abilita il supporto per l'estensione Extend Master Secret (EMS).

Se sei un amministratore IT, assicurati di supportare completamente la ripresa EMS come definito da RFC 7627.

2] Rimuovi suite di crittografia TLS_DHE_*

Se il sistema operativo non supporta EMS, l'amministratore IT deve rimuovere le suite di crittografia TLS_DHE_* dall'elenco delle suite di crittografia nel sistema operativo del dispositivo client TLS. È disponibile la documentazione completa per la prioritizzazione di Schannel Cipher Suites.

Detto questo, queste sono una soluzione temporanea e disabilitarle significa solo che stai invitando un attacco man-in-the-middle

3] Abilita/Disabilita EMS su Windows 10/Windows Server

Se, per qualsiasi problema TLS, hai disabilitato EMS sul tuo computer, utilizza le impostazioni del registro sia sul server che sul client per abilitarlo.

• Apri l'editor del registro
• Passare a HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
  • Sul server TLS: DisableServerExtendedMasterSecret: 0
  • Sul client TLS: DisableClientExtendedMasterSecret: 0

Se non sono disponibili, puoi crearli.

Spero che queste soluzioni alternative siano state utili per risolvere temporaneamente il problema che stai affrontando con TLS. Tieni d'occhio gli aggiornamenti che verranno implementati per risolvere questo problema