TLS-Verbindungen (Transport Layer Security) können zeitweise ausfallen oder eine Zeitüberschreitung beim Herstellen der Verbindung verursachen (2024)

Windows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7 Mehr...Weniger

Problembeschreibung

Beim Versuch, eine Verbindung herzustellen, kann es vorkommen, dass TLS (Transport Layer Security) zeitweise fehlschlägt oder dass eine Zeitüberschreitung eintritt. Es können auch eine oder mehrere der folgenden Fehlermeldungen angezeigt werden:

„Die Anforderung wurde abgebrochen: Es konnte kein geschützter SSL/TLS-Kanal erstellt werden.“
Fehler 0x8009030f
Im Systemereignisprotokoll für das SCHANNEL-Ereignis 36887 wurde ein Fehler mit dem Warnungscode 20 und der folgenden Beschreibung protokolliert „Es wurde eine schwerwiegende Warnung vom Remoteendpunkt empfangen. Die schwerwiegende Warnung hat folgenden für das TLS-Protokoll definierten Code: 20.“

Ursache

Aufgrund der sicherheitsbezogenen Durchsetzung für CVE-2019-1318 erzwingen alle Updates für unterstützte Versionen von Windows, die am 8. Oktober 2019 oder später veröffentlicht wurden, Extended Master Secret (EMS) für die Wiederaufnahme gemäß RFC 7627. Verbindungen zu Geräten und Sicherheitssystemen von Drittanbietern, die nicht konform sind, können Probleme haben oder fehlschlagen.

Nächste Schritte

Bei Verbindungen zwischen zwei Geräten, auf denen eine unterstützte Windows-Version ausgeführt wird, sollte dieses Problem bei vollständiger Aktualisierung nicht auftreten. Für dieses Problem ist kein Update für Windows erforderlich. Diese Änderungen sind erforderlich, um ein Sicherheitsproblem und die Sicherheitskonformität zu beheben.

Alle Betriebssysteme, Geräte oder Dienste von Drittanbietern, die die EMS-Wiederaufnahme nicht unterstützen, können Probleme im Zusammenhang mit TLS-Verbindungen aufweisen. Wenden Sie sich an Ihren Administrator, Hersteller oder Dienstanbieter, um Updates zu erhalten, die die EMS-Wiederaufnahme gemäß RFC 7627 vollständig unterstützen.

Hinweis Microsoft rät davon ab, EMS zu deaktivieren. Wenn EMS zuvor explizit deaktiviert wurde, kann diese Funktion durch Festlegen der folgenden Registrierungsschlüsselwerte wieder aktiviert werden:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

On TLS Server: DisableServerExtendedMasterSecret: 0
On TLS Client: DisableClientExtendedMasterSecret: 0

Erweiterte Informationen für Administratoren

1. Ein Windows-Gerät, das versucht, eine TLS-Verbindung (Transport Layer Security) mit einem Gerät herzustellen, das Extended Master Secret (EMS) nicht unterstützt, wenn TLS_DHE_* Verschlüsselungssammlungen ausgehandelt werden, schlägt gelegentlich bei etwa 1 von 256 Versuchen fehl. Implementieren Sie eine der folgenden Lösungen in der angegebenen Reihenfolge, um dieses Problem zu beheben:

Aktivieren Sie die Unterstützung für Extend Master Secret(EMS)-Erweiterungen, wenn Sie TLS-Verbindungen sowohl auf dem Client- als auch auf dem Serverbetriebssystem ausführen.

Entfernen Sie für Betriebssysteme, die EMS nicht unterstützen, die TLS_DHE_*-Verschlüsselungssammlung aus der Liste der Verschlüsselungssammlungen im Betriebssystem des TLS-Clientgeräts. Anweisungen für Windows finden Sie unter Priorisieren von Schannel-Verschlüsselungssammlungen.

2. Betriebssysteme, die nach der Wiederaufnahme nur Zertifikatanforderungsnachrichten in einem vollständigen Handshake senden, sind nicht mit RFC 2246 (TLS 1.0)oderRFC 5246 (TLS 1.2) kompatibel und führen zum Ausfall jeder Verbindung. Die Wiederaufnahme wird von den RFCs nicht garantiert, kann aber nach Ermessen des TLS-Clients und -Servers verwendet werden. Wenn dieses Problem auftritt, müssen Sie sich an den Hersteller oder Dienstanbieter wenden, um Updates zu erhalten, die den RFC-Standards entsprechen.

3. FTP-Server oder -Clients, die nicht mit RFC 2246 (TLS 1.0)undRFC 5246 (TLS 1.2) kompatibel sind, können möglicherweise keine Dateien bei der Wiederaufnahme oder bei einem verkürzten Handshake übertragen und führen dazu, dass jede Verbindung fehlschlägt.Wenn dieses Problem auftritt, müssen Sie sich an den Hersteller oder Dienstanbieter wenden, um Updates zu erhalten, die den RFC-Standards entsprechen.

Betroffene Updates

Bei den neuesten kumulativen Updates (Latest Cumulative Updates, LCUs) oder monatlichen Rollups, die am 8. Oktober 2019 oder später für die betroffenen Plattformen veröffentlicht wurden, kann dieses Problem auftreten:

KB4517389 LCU für Windows10, Version1903.
KB4519338 LCU für Windows10, Version1809, und Windows Server2019.
KB4520008 LCU für Windows10, Version1803.
KB4520004 LCU für Windows10, Version1709.
KB4520010 LCU für Windows10, Version1703.
KB4519998 LCU für Windows10, Version1607, und Windows Server2016.
KB4520011 LCU für Windows10, Version1507.
KB4520005 Monatlicher Rollup für Windows8.1 und Windows Server2012 R2.
KB4520007Monatlicher Rollup für Windows Server2012.
KB4519976 Monatlicher Rollup für Windows7 SP1 und Windows Server2008 R2 SP1.
KB4520002Monatlicher Rollup für Windows Server2008 SP2

Bei dem folgenden reinen Sicherheitsupdate, das am 8. Oktober 2019 für die betroffenen Plattformen veröffentlicht wurde, kann dieses Problem auftreten:

KB4519990 Reines Sicherheitsupdate für Windows8.1 und Windows Server2012 R2.
KB4519985Reines Sicherheitsupdate für Windows Server2012 und Windows Embedded8 Standard.
KB4520003 Reines Sicherheitsupdate für Windows7 SP1 und Windows Server2008 R2 SP1.
KB4520009Reines Sicherheitsupdate fürWindows Server2008 SP2