דרכים לעקיפת הבעיה של תקלות TLS ופסקי זמן במערכות Windows

אם אתה נתקל בבעיות עם כשלים ופסקות זמן של TLS במערכת Windows שלך, יש כמה דברים שאתה יכול לעשות כדי לעקוף את הבעיה. ראשית, נסה להגדיל את ערך הזמן הקצוב של TLS ברישום שלך. כדי לעשות זאת, פתח את עורך הרישום (regedit.exe) ועבור למפתח הבא: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters לאחר מכן, צור ערך DWORD חדש בשם 'EnableTls11' והגדר אותו ל-1. אם זה לא עובד, אתה יכול לנסות להשבית את TLS 1.0. כדי לעשות זאת, פתח את עורך הרישום ועבור למפתח הבא: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols לאחר מכן, צור ערך DWORD חדש עבור כל אחד מהפרוטוקולים הבאים והגדר אותם ל-0: PCT 1.0 SSL 2.0 SSL 3.0 TLS 1.0 לבסוף, אם כל השאר נכשל, אתה יכול לנסות להתקין מחדש את מנהלי ההתקן של מתאם הרשת שלך. זה בדרך כלל מוצא אחרון, אבל זה יכול לפעמים לתקן בעיות עם TLS. אם אתה נתקל בבעיות עם כשלים ופסקות זמן של TLS במערכת Windows שלך, יש כמה דברים שאתה יכול לעשות כדי לעקוף את הבעיה. ראשית, נסה להגדיל את ערך הזמן הקצוב של TLS ברישום שלך. כדי לעשות זאת, פתח את עורך הרישום (regedit.exe) ועבור למפתח הבא: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters לאחר מכן, צור ערך DWORD חדש בשם 'EnableTls11' והגדר אותו ל-1. אם זה לא עובד, אתה יכול לנסות להשבית את TLS 1.0. כדי לעשות זאת, פתח את עורך הרישום ועבור למפתח הבא: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELProtocols לאחר מכן, צור ערך DWORD חדש עבור כל אחד מהפרוטוקולים הבאים והגדר אותם ל-0: PCT 1.0 SSL 2.0 SSL 3.0 TLS 1.0 לבסוף, אם כל השאר נכשל, אתה יכול לנסות להתקין מחדש את מנהלי ההתקן של מתאם הרשת שלך. זה בדרך כלל מוצא אחרון, אבל זה יכול לפעמים לתקן בעיות עם TLS.

נושאים צבעוניים של Firefox

דיברנו על לחיצת יד TLS , ואיך זה יכול להיכשל. כמו כן, ציינו שהרבה כשלים ב-TLS נבעו מכך שמיקרוסופט ניסתה לתקן דברים. עדכון האבטחה CVE-2019-1318 הביא להחזרה לאחרונה של TLS ו-SSL. זה גרם לחיבורי TLS להיכשל לסירוגין או לקחת זמן רב וכתוצאה מכך פסק זמן. בפוסט זה, נשתף דרכים לעקיפת תקלות ופסקות זמן של TLS במערכות Windows.

השגיאות הבאות נפוצות עקב בעיה מתמשכת זו:

• הבקשה בוטלה: יצירת ערוץ מאובטח SSL/TLS נכשל.
• שגיאה 0x8009030f
• נרשמה שגיאה ביומן האירועים של המערכת עבור אירוע SCHANNEL 36887 עם קוד אזהרה 20 ותיאור: 'התקבלה אזהרה קריטית מנקודת הקצה המרוחקת. קוד אזהרה קטלני לפי פרוטוקול TLS - 20.? '

אילו גרסאות של Windows מועדות לכשלים ב-TLS?

הפגיעות עלולה לתת לתוקף הזדמנות לפתוח בהתקפה של איש-באמצע. זה תוקן על ידי עדכון וזה הביא לכשלים ופסקות זמן של TLS במערכות Windows.

מיקרוסופט ציינה שזה קורה רק כאשר מכשירים מנסים ליצור חיבורי TLS למכשירים שאינם תומכים בתוסף Extended Master Secret. אם למכשירים יש גרסה נתמכת, זה לא קורה. להלן גרסאות Windows המושפעות כעת:

1. Windows 10 גרסה 1607
2. Windows Server 2016
3. חלונות 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Windows Server 2012
7. Service Pack 1 עבור Windows 7
8. Service Pack 1 עבור Windows Server 2008 R2
9. Service Pack 2 עבור Windows Server 2008

רשימת עדכוני Windows מושפעת עקב עדכון אבטחה

כל עדכון מצטבר אחרון (LCU) או אוסף חודשי שפורסמו ב-8 באוקטובר 2019 או אחריו עבור פלטפורמות מושפעות עשוי להיתקל בבעיה זו:

1. KB4517389 LCU עבור Windows 10 גרסה 1903.
2. KB4519338 LCU עבור Windows 10 גרסה 1809 ו-Windows Server 2019.
3. KB4520008 LCU עבור Windows 10 גרסה 1803.
4. KB4520004 LCU עבור Windows 10 גרסה 1709.
5. KB4520010 LCU עבור Windows 10 גרסה 1703.
6. KB4519998 LCU עבור Windows 10 גרסה 1607 ו-Windows Server 2016.
7. KB4520011 LCU עבור Windows 10 גרסה 1507.
8. KB4520005 אוסף עדכונים חודשי עבור Windows 8.1 ו-Windows Server 2012 R2.
9. KB4520007 אוסף עדכונים חודשי עבור Windows Server 2012.
10. KB4519976 אוסף עדכונים חודשי עבור Windows 7 SP1 ו-Windows Server 2008 R2 SP1.
11. KB4520002 אוסף עדכונים חודשי עבור Windows Server 2008 SP2
12. KB4519990 עדכון אבטחה בלבד עבור Windows 8.1 ו-Windows Server 2012 R2.
13. KB4519985 עדכון אבטחה עבור Windows Server 2012 ו-Windows Embedded 8 Standard בלבד.
14. KB4520003 עדכון אבטחה בלבד עבור Windows 7 SP1 ו-Windows Server 2008 R2 SP1
15. KB4520009 עדכון אבטחה בלבד עבור Windows Server 2008 SP2

דרכים לעקיפת הבעיה עבור כשלים ופסקות זמן של TLS ב-Windows

לפי מיקרוסופט, שם שלוש דרכים כדי לתקן קריסות ופסקי זמן של TLS.

1. אפשר EMS גם בלקוח וגם בשרת
2. מחק חבילות צופן TLS_DHE_*
3. הפעל / השבת את EMS ב- Windows 10 / Windows Server

זכור שלדרכים לעקיפת הבעיה יש חסרונות, במיוחד במונחים של אבטחה.

1] אפשר EMS גם בלקוח וגם בשרת

כידוע, אם מותקן EMS משני הצדדים, אז אין בעיה, אז הפתרון ברור. למרות ש-EMS מופעל כברירת מחדל עבור כל הגרסאות לאחר 8 באוקטובר 2019, אחרת ודא זאת אפשר תמיכה בתוסף Extend Master Secret (EMS).

אם אתה מנהל IT, אנא ודא שאתה תומך בחידוש EMS כפי שהוגדר RFC 7627 לְגַמרֵי.

2] הסר חבילות צופן TLS_DHE_*

אם מערכת ההפעלה אינה תומכת ב-EMS, על מנהל ה-IT להסיר את חבילות הצופן TLS_DHE_* מרשימת חבילות הצופן במערכת ההפעלה של מכשיר הלקוח TLS. תיעוד מלא עבור Priority Channel Chipher Suites זמין.

עם זאת, זהו תיקון זמני, והשבתתם רק אומרת שאתה מזמין התקפה של איש-באמצע.

3] הפעל/השבת EMS ב-Windows 10/Windows Server

אם, עקב בעיה כלשהי עם TLS, השבתת את EMS במחשב שלך, השתמש בהגדרות הרישום הן בשרת והן בלקוח כדי להפעיל זאת.

• לִפְתוֹחַ עורך רישום
• עבור אל מערכת HKLM CurrentControlSet Control SecurityProviders Channel
  • לשרתי TLS: DisableServerExtendedMasterSecret: 0
  • בלקוח TLS: DisableClientExtendedMasterSecret: 0

אם הם לא זמינים, אתה יכול ליצור אותם.

אני מקווה שדרכים לעקיפת הבעיה סייעו בפתרון זמני של הבעיה שאתה חווה עם TLS. המשך לעקוב אחר עדכונים שישוחררו כדי לטפל בבעיה זו.