หากคุณประสบปัญหาเกี่ยวกับความล้มเหลวของ TLS และการหมดเวลาในระบบ Windows ของคุณ มีบางสิ่งที่คุณสามารถทำได้เพื่อแก้ไขปัญหา ขั้นแรก ให้ลองเพิ่มค่าการหมดเวลาของ TLS ในรีจิสทรีของคุณ ในการทำเช่นนี้ ให้เปิด Registry Editor (regedit.exe) แล้วไปที่คีย์ต่อไปนี้: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters จากนั้น สร้างค่า DWORD ใหม่ชื่อ 'EnableTls11' และตั้งค่าเป็น 1 หากไม่ได้ผล คุณสามารถลองปิดใช้งาน TLS 1.0 ในการทำเช่นนี้ ให้เปิด Registry Editor และไปที่คีย์ต่อไปนี้: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELโปรโตคอล จากนั้น สร้างค่า DWORD ใหม่สำหรับแต่ละโปรโตคอลต่อไปนี้ และตั้งค่าเป็น 0: พีซีที 1.0 เอสเอสแอล 2.0 เอสเอสแอล 3.0 ทล.1.0 สุดท้าย หากทั้งหมดล้มเหลว คุณสามารถลองติดตั้งไดรเวอร์การ์ดเชื่อมต่อเครือข่ายของคุณใหม่ โดยปกติจะเป็นทางเลือกสุดท้าย แต่บางครั้งก็สามารถแก้ไขปัญหาเกี่ยวกับ TLS ได้ หากคุณประสบปัญหาเกี่ยวกับความล้มเหลวของ TLS และการหมดเวลาในระบบ Windows ของคุณ มีบางสิ่งที่คุณสามารถทำได้เพื่อแก้ไขปัญหา ขั้นแรก ให้ลองเพิ่มค่าการหมดเวลาของ TLS ในรีจิสทรีของคุณ ในการทำเช่นนี้ ให้เปิด Registry Editor (regedit.exe) แล้วไปที่คีย์ต่อไปนี้: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetServicesHTTPParameters จากนั้น สร้างค่า DWORD ใหม่ชื่อ 'EnableTls11' และตั้งค่าเป็น 1 หากไม่ได้ผล คุณสามารถลองปิดใช้งาน TLS 1.0 ในการทำเช่นนี้ ให้เปิด Registry Editor และไปที่คีย์ต่อไปนี้: HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProvidersSCHANNELโปรโตคอล จากนั้น สร้างค่า DWORD ใหม่สำหรับแต่ละโปรโตคอลต่อไปนี้ และตั้งค่าเป็น 0: พีซีที 1.0 เอสเอสแอล 2.0 เอสเอสแอล 3.0 ทล.1.0 สุดท้าย หากทั้งหมดล้มเหลว คุณสามารถลองติดตั้งไดรเวอร์การ์ดเชื่อมต่อเครือข่ายของคุณใหม่ โดยปกติจะเป็นทางเลือกสุดท้าย แต่บางครั้งก็สามารถแก้ไขปัญหาเกี่ยวกับ TLS ได้
เรากำลังพูดถึง จับมือทล และล้มเหลวได้อย่างไร เรายังสังเกตเห็นว่าความล้มเหลวของ TLS จำนวนมากเกิดจากการที่ Microsoft พยายามแก้ไขสิ่งต่างๆ การอัปเดตความปลอดภัย CVE-2019-1318 ส่งผลให้มีการย้อนกลับล่าสุดสำหรับ TLS และ SSL ซึ่งทำให้การเชื่อมต่อ TLS ล้มเหลวเป็นระยะหรือใช้เวลานาน ส่งผลให้หมดเวลา ในโพสต์นี้ เราจะแบ่งปันวิธีแก้ปัญหาสำหรับความล้มเหลวของ TLS และการหมดเวลาบนระบบ Windows
ข้อผิดพลาดต่อไปนี้เป็นเรื่องปกติเนื่องจากปัญหาต่อเนื่องนี้:
- คำขอถูกยกเลิก: ไม่สามารถสร้างแชนเนลที่ปลอดภัย SSL/TLS
- ข้อผิดพลาด 0x8009030f
- มีการบันทึกข้อผิดพลาดในบันทึกเหตุการณ์ของระบบสำหรับเหตุการณ์ SCHANNEL 36887 พร้อมรหัสคำเตือน 20 และคำอธิบาย: 'ได้รับคำเตือนที่สำคัญจากปลายทางระยะไกล รหัสเตือนร้ายแรงโดยโปรโตคอล TLS - 20.? '
Windows เวอร์ชันใดบ้างที่มีแนวโน้มที่จะเกิดความล้มเหลวของ TLS
ช่องโหว่นี้อาจทำให้ผู้โจมตีมีโอกาสเปิดการโจมตีแบบคนอยู่ตรงกลางได้ สิ่งนี้ได้รับการแก้ไขโดยการอัปเดตและส่งผลให้ TLS ล้มเหลวและหมดเวลาในระบบ Windows
Microsoft สังเกตว่าสิ่งนี้จะเกิดขึ้นเฉพาะเมื่ออุปกรณ์พยายามสร้างการเชื่อมต่อ TLS กับอุปกรณ์ที่ไม่รองรับส่วนขยาย Extended Master Secret หากอุปกรณ์มีเวอร์ชันที่รองรับ สิ่งนี้จะไม่เกิดขึ้น ต่อไปนี้คือเวอร์ชันของ Windows ที่ได้รับผลกระทบในขณะนี้:
- วินโดวส์ 10 รุ่น 1607
- วินโดวส์ เซิร์ฟเวอร์ 2016
- วินโดวส์ 10
- วินโดวส์ 8.1
- Windows Server 2012 R2
- วินโดวส์ เซิร์ฟเวอร์ 2012
- Service Pack 1 สำหรับ Windows 7
- Service Pack 1 สำหรับ Windows Server 2008 R2
- Service Pack 2 สำหรับ Windows Server 2008
รายการอัปเดต Windows ได้รับผลกระทบเนื่องจากการอัปเดตความปลอดภัย
การอัปเดตแบบสะสมล่าสุด (LCU) หรือชุดรวมอัปเดตรายเดือนที่เผยแพร่ในหรือหลังวันที่ 8 ตุลาคม 2019 สำหรับแพลตฟอร์มที่ได้รับผลกระทบอาจประสบปัญหานี้:
- KB4517389 LCU สำหรับ Windows 10 เวอร์ชัน 1903
- KB4519338 LCU สำหรับ Windows 10 เวอร์ชัน 1809 และ Windows Server 2019
- KB4520008 LCU สำหรับ Windows 10 รุ่น 1803
- KB4520004 LCU สำหรับ Windows 10 รุ่น 1709
- KB4520010 LCU สำหรับ Windows 10 รุ่น 1703
- KB4519998 LCU สำหรับ Windows 10 เวอร์ชัน 1607 และ Windows Server 2016
- KB4520011 LCU สำหรับ Windows 10 รุ่น 1507
- KB4520005 การยกเลิกการอัปเดตรายเดือนสำหรับ Windows 8.1 และ Windows Server 2012 R2
- KB4520007 การยกเลิกการอัปเดตรายเดือนสำหรับ Windows Server 2012
- KB4519976 การยกเลิกการอัปเดตรายเดือนสำหรับ Windows 7 SP1 และ Windows Server 2008 R2 SP1
- KB4520002 การยกเลิกการอัปเดตรายเดือนสำหรับ Windows Server 2008 SP2
- KB4519990 การอัปเดตความปลอดภัยเท่านั้นสำหรับ Windows 8.1 และ Windows Server 2012 R2
- การอัปเดตความปลอดภัย KB4519985 สำหรับ Windows Server 2012 และ Windows Embedded 8 Standard เท่านั้น
- KB4520003 การอัปเดตความปลอดภัยเท่านั้นสำหรับ Windows 7 SP1 และ Windows Server 2008 R2 SP1
- KB4520009 การอัปเดตความปลอดภัยเท่านั้นสำหรับ Windows Server 2008 SP2
วิธีแก้ปัญหาสำหรับความล้มเหลวของ TLS และการหมดเวลาบน Windows
ตามที่ Microsoft มี สามวิธี เพื่อแก้ไขข้อขัดข้องของ TLS และการหมดเวลา
- เปิดใช้งาน EMS ทั้งบนไคลเอ็นต์และเซิร์ฟเวอร์
- ลบชุดการเข้ารหัส TLS_DHE_*
- เปิด / ปิด EMS ใน Windows 10 / Windows Server
โปรดทราบว่าวิธีแก้ปัญหามีข้อเสีย โดยเฉพาะในด้านความปลอดภัย
1] เปิดใช้งาน EMS ทั้งบนไคลเอ็นต์และเซิร์ฟเวอร์
ดังที่เราทราบหากติดตั้ง EMS ทั้งสองด้านก็ไม่มีปัญหาดังนั้นวิธีแก้ปัญหาจึงชัดเจน แม้ว่า EMS จะถูกเปิดใช้งานตามค่าเริ่มต้นสำหรับการเผยแพร่ทั้งหมดหลังวันที่ 8 ตุลาคม 2019 มิฉะนั้น ให้ตรวจสอบให้แน่ใจว่า เปิดใช้งานการสนับสนุนส่วนขยาย Extend Master Secret (EMS)
หากคุณเป็นผู้ดูแลระบบไอที โปรดตรวจสอบว่าคุณรองรับการต่ออายุ EMS ตามที่กำหนดไว้ อาร์เอฟซี 7627 อย่างเต็มที่
2] ลบชุดการเข้ารหัส TLS_DHE_*
หากระบบปฏิบัติการไม่รองรับ EMS ผู้ดูแลระบบ IT ต้องลบชุดรหัส TLS_DHE_* ออกจากรายการชุดรหัสบนระบบปฏิบัติการของอุปกรณ์ไคลเอ็นต์ TLS เอกสารครบสำหรับ Priority Schannel Cipher Suites มีอยู่.
อย่างไรก็ตาม นี่เป็นการแก้ไขชั่วคราว และการปิดใช้งานหมายความว่าคุณกำลังเชิญการโจมตีจากคนกลางเท่านั้น
การอัปเดตจาวาปลอดภัยหรือไม่
3] เปิด/ปิด EMS ใน Windows 10/Windows Server
หากคุณปิดใช้งาน EMS ในคอมพิวเตอร์ เนื่องจากปัญหาบางอย่างเกี่ยวกับ TLS ให้ใช้การตั้งค่ารีจิสทรีทั้งบนเซิร์ฟเวอร์และไคลเอนต์เพื่อเปิดใช้งาน
- เปิด ตัวแก้ไขรีจิสทรี
- ไปที่ HKLM System CurrentControlSet Control SecurityProviders Schannel
- ไปยังเซิร์ฟเวอร์ TLS: DisableServerExtendedMasterSecret: 0
- บนไคลเอนต์ TLS: DisableClientExtendedMasterSecret: 0
หากไม่พร้อมใช้งาน คุณสามารถสร้างได้
ดาวน์โหลด PC Repair Tool เพื่อค้นหาอย่างรวดเร็วและแก้ไขข้อผิดพลาดของ Windows โดยอัตโนมัติฉันหวังว่าวิธีแก้ปัญหาเหล่านี้จะเป็นประโยชน์ในการแก้ปัญหาที่คุณประสบกับ TLS เป็นการชั่วคราว คอยติดตามการอัปเดตที่จะเผยแพร่เพื่อแก้ไขปัญหานี้