วิธีแก้ปัญหาสำหรับความล้มเหลวของ TLS และการหมดเวลาบนระบบ Windows

หากคุณประสบปัญหาเกี่ยวกับความล้มเหลวของ TLS และการหมดเวลาในระบบ Windows ของคุณ มีบางสิ่งที่คุณสามารถทำได้เพื่อแก้ไขปัญหา ขั้นแรก ให้ลองเพิ่มค่าการหมดเวลาของ TLS ในรีจิสทรีของคุณ ในการทำเช่นนี้ ให้เปิด Registry Editor (regedit.exe) แล้วไปที่คีย์ต่อไปนี้: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters จากนั้น สร้างค่า DWORD ใหม่ชื่อ 'EnableTls11' และตั้งค่าเป็น 1 หากไม่ได้ผล คุณสามารถลองปิดใช้งาน TLS 1.0 ในการทำเช่นนี้ ให้เปิด Registry Editor และไปที่คีย์ต่อไปนี้: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELโปรโตคอล จากนั้น สร้างค่า DWORD ใหม่สำหรับแต่ละโปรโตคอลต่อไปนี้ และตั้งค่าเป็น 0: พีซีที 1.0 เอสเอสแอล 2.0 เอสเอสแอล 3.0 ทล.1.0 สุดท้าย หากทั้งหมดล้มเหลว คุณสามารถลองติดตั้งไดรเวอร์การ์ดเชื่อมต่อเครือข่ายของคุณใหม่ โดยปกติจะเป็นทางเลือกสุดท้าย แต่บางครั้งก็สามารถแก้ไขปัญหาเกี่ยวกับ TLS ได้ หากคุณประสบปัญหาเกี่ยวกับความล้มเหลวของ TLS และการหมดเวลาในระบบ Windows ของคุณ มีบางสิ่งที่คุณสามารถทำได้เพื่อแก้ไขปัญหา ขั้นแรก ให้ลองเพิ่มค่าการหมดเวลาของ TLS ในรีจิสทรีของคุณ ในการทำเช่นนี้ ให้เปิด Registry Editor (regedit.exe) แล้วไปที่คีย์ต่อไปนี้: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters จากนั้น สร้างค่า DWORD ใหม่ชื่อ 'EnableTls11' และตั้งค่าเป็น 1 หากไม่ได้ผล คุณสามารถลองปิดใช้งาน TLS 1.0 ในการทำเช่นนี้ ให้เปิด Registry Editor และไปที่คีย์ต่อไปนี้: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELโปรโตคอล จากนั้น สร้างค่า DWORD ใหม่สำหรับแต่ละโปรโตคอลต่อไปนี้ และตั้งค่าเป็น 0: พีซีที 1.0 เอสเอสแอล 2.0 เอสเอสแอล 3.0 ทล.1.0 สุดท้าย หากทั้งหมดล้มเหลว คุณสามารถลองติดตั้งไดรเวอร์การ์ดเชื่อมต่อเครือข่ายของคุณใหม่ โดยปกติจะเป็นทางเลือกสุดท้าย แต่บางครั้งก็สามารถแก้ไขปัญหาเกี่ยวกับ TLS ได้

เรากำลังพูดถึง จับมือทล และล้มเหลวได้อย่างไร เรายังสังเกตเห็นว่าความล้มเหลวของ TLS จำนวนมากเกิดจากการที่ Microsoft พยายามแก้ไขสิ่งต่างๆ การอัปเดตความปลอดภัย CVE-2019-1318 ส่งผลให้มีการย้อนกลับล่าสุดสำหรับ TLS และ SSL ซึ่งทำให้การเชื่อมต่อ TLS ล้มเหลวเป็นระยะหรือใช้เวลานาน ส่งผลให้หมดเวลา ในโพสต์นี้ เราจะแบ่งปันวิธีแก้ปัญหาสำหรับความล้มเหลวของ TLS และการหมดเวลาบนระบบ Windows

ข้อผิดพลาดต่อไปนี้เป็นเรื่องปกติเนื่องจากปัญหาต่อเนื่องนี้:

• คำขอถูกยกเลิก: ไม่สามารถสร้างแชนเนลที่ปลอดภัย SSL/TLS
• ข้อผิดพลาด 0x8009030f
• มีการบันทึกข้อผิดพลาดในบันทึกเหตุการณ์ของระบบสำหรับเหตุการณ์ SCHANNEL 36887 พร้อมรหัสคำเตือน 20 และคำอธิบาย: 'ได้รับคำเตือนที่สำคัญจากปลายทางระยะไกล รหัสเตือนร้ายแรงโดยโปรโตคอล TLS - 20.? '

Windows เวอร์ชันใดบ้างที่มีแนวโน้มที่จะเกิดความล้มเหลวของ TLS

ช่องโหว่นี้อาจทำให้ผู้โจมตีมีโอกาสเปิดการโจมตีแบบคนอยู่ตรงกลางได้ สิ่งนี้ได้รับการแก้ไขโดยการอัปเดตและส่งผลให้ TLS ล้มเหลวและหมดเวลาในระบบ Windows

Microsoft สังเกตว่าสิ่งนี้จะเกิดขึ้นเฉพาะเมื่ออุปกรณ์พยายามสร้างการเชื่อมต่อ TLS กับอุปกรณ์ที่ไม่รองรับส่วนขยาย Extended Master Secret หากอุปกรณ์มีเวอร์ชันที่รองรับ สิ่งนี้จะไม่เกิดขึ้น ต่อไปนี้คือเวอร์ชันของ Windows ที่ได้รับผลกระทบในขณะนี้:

1. วินโดวส์ 10 รุ่น 1607
2. วินโดวส์ เซิร์ฟเวอร์ 2016
3. วินโดวส์ 10
4. วินโดวส์ 8.1
5. Windows Server 2012 R2
6. วินโดวส์ เซิร์ฟเวอร์ 2012
7. Service Pack 1 สำหรับ Windows 7
8. Service Pack 1 สำหรับ Windows Server 2008 R2
9. Service Pack 2 สำหรับ Windows Server 2008

รายการอัปเดต Windows ได้รับผลกระทบเนื่องจากการอัปเดตความปลอดภัย

การอัปเดตแบบสะสมล่าสุด (LCU) หรือชุดรวมอัปเดตรายเดือนที่เผยแพร่ในหรือหลังวันที่ 8 ตุลาคม 2019 สำหรับแพลตฟอร์มที่ได้รับผลกระทบอาจประสบปัญหานี้:

1. KB4517389 LCU สำหรับ Windows 10 เวอร์ชัน 1903
2. KB4519338 LCU สำหรับ Windows 10 เวอร์ชัน 1809 และ Windows Server 2019
3. KB4520008 LCU สำหรับ Windows 10 รุ่น 1803
4. KB4520004 LCU สำหรับ Windows 10 รุ่น 1709
5. KB4520010 LCU สำหรับ Windows 10 รุ่น 1703
6. KB4519998 LCU สำหรับ Windows 10 เวอร์ชัน 1607 และ Windows Server 2016
7. KB4520011 LCU สำหรับ Windows 10 รุ่น 1507
8. KB4520005 การยกเลิกการอัปเดตรายเดือนสำหรับ Windows 8.1 และ Windows Server 2012 R2
9. KB4520007 การยกเลิกการอัปเดตรายเดือนสำหรับ Windows Server 2012
10. KB4519976 การยกเลิกการอัปเดตรายเดือนสำหรับ Windows 7 SP1 และ Windows Server 2008 R2 SP1
11. KB4520002 การยกเลิกการอัปเดตรายเดือนสำหรับ Windows Server 2008 SP2
12. KB4519990 การอัปเดตความปลอดภัยเท่านั้นสำหรับ Windows 8.1 และ Windows Server 2012 R2
13. การอัปเดตความปลอดภัย KB4519985 สำหรับ Windows Server 2012 และ Windows Embedded 8 Standard เท่านั้น
14. KB4520003 การอัปเดตความปลอดภัยเท่านั้นสำหรับ Windows 7 SP1 และ Windows Server 2008 R2 SP1
15. KB4520009 การอัปเดตความปลอดภัยเท่านั้นสำหรับ Windows Server 2008 SP2

วิธีแก้ปัญหาสำหรับความล้มเหลวของ TLS และการหมดเวลาบน Windows

ตามที่ Microsoft มี สามวิธี เพื่อแก้ไขข้อขัดข้องของ TLS และการหมดเวลา

1. เปิดใช้งาน EMS ทั้งบนไคลเอ็นต์และเซิร์ฟเวอร์
2. ลบชุดการเข้ารหัส TLS_DHE_*
3. เปิด / ปิด EMS ใน Windows 10 / Windows Server

โปรดทราบว่าวิธีแก้ปัญหามีข้อเสีย โดยเฉพาะในด้านความปลอดภัย

1] เปิดใช้งาน EMS ทั้งบนไคลเอ็นต์และเซิร์ฟเวอร์

ดังที่เราทราบหากติดตั้ง EMS ทั้งสองด้านก็ไม่มีปัญหาดังนั้นวิธีแก้ปัญหาจึงชัดเจน แม้ว่า EMS จะถูกเปิดใช้งานตามค่าเริ่มต้นสำหรับการเผยแพร่ทั้งหมดหลังวันที่ 8 ตุลาคม 2019 มิฉะนั้น ให้ตรวจสอบให้แน่ใจว่า เปิดใช้งานการสนับสนุนส่วนขยาย Extend Master Secret (EMS)

หากคุณเป็นผู้ดูแลระบบไอที โปรดตรวจสอบว่าคุณรองรับการต่ออายุ EMS ตามที่กำหนดไว้ อาร์เอฟซี 7627 อย่างเต็มที่

2] ลบชุดการเข้ารหัส TLS_DHE_*

หากระบบปฏิบัติการไม่รองรับ EMS ผู้ดูแลระบบ IT ต้องลบชุดรหัส TLS_DHE_* ออกจากรายการชุดรหัสบนระบบปฏิบัติการของอุปกรณ์ไคลเอ็นต์ TLS เอกสารครบสำหรับ Priority Schannel Cipher Suites มีอยู่.

อย่างไรก็ตาม นี่เป็นการแก้ไขชั่วคราว และการปิดใช้งานหมายความว่าคุณกำลังเชิญการโจมตีจากคนกลางเท่านั้น

การอัปเดตจาวาปลอดภัยหรือไม่

3] เปิด/ปิด EMS ใน Windows 10/Windows Server

หากคุณปิดใช้งาน EMS ในคอมพิวเตอร์ เนื่องจากปัญหาบางอย่างเกี่ยวกับ TLS ให้ใช้การตั้งค่ารีจิสทรีทั้งบนเซิร์ฟเวอร์และไคลเอนต์เพื่อเปิดใช้งาน

• เปิด ตัวแก้ไขรีจิสทรี
• ไปที่ HKLM System CurrentControlSet Control SecurityProviders Schannel
  • ไปยังเซิร์ฟเวอร์ TLS: DisableServerExtendedMasterSecret: 0
  • บนไคลเอนต์ TLS: DisableClientExtendedMasterSecret: 0

หากไม่พร้อมใช้งาน คุณสามารถสร้างได้

ฉันหวังว่าวิธีแก้ปัญหาเหล่านี้จะเป็นประโยชน์ในการแก้ปัญหาที่คุณประสบกับ TLS เป็นการชั่วคราว คอยติดตามการอัปเดตที่จะเผยแพร่เพื่อแก้ไขปัญหานี้