Una actualización de seguridad CVE-2019-1318 ha provocado el reciente lanzamiento de TLS y SSL. El resultado es que las conexiones TLS fallan intermitentemente o tardan mucho tiempo y resultan en un tiempo de espera
Los siguientes errores son comunes debido a este problema continuo:
- La solicitud fue cancelada: no se pudo crear un canal seguro SSL / TLS
- Error 0x8009030f
- Un error registrado en el Registro de eventos del sistema para el evento 36887 de SCHANNEL con el código de alerta 20 y la descripción, “Se recibió una alerta fatal desde el punto final remoto. El código de alerta fatal definido por el protocolo TLS es 20.? ”
¿Qué versiones de Windows están afectadas por las fallas de TLS?
La vulnerabilidad puede dar al atacante la oportunidad de realizar un ataque de hombre en el medio. Esto fue corregido por la actualización, y resultó en fallas TLS, tiempos de espera en los sistemas Windows.
Microsoft señaló que solo ocurre cuando los dispositivos intentan realizar conexiones TLS a dispositivos sin soporte para la extensión Extended Master Secret. Si los dispositivos tienen la versión compatible, entonces no ocurre. Aquí están las versiones de Windows afectadas a partir de ahora: Windows 10 versión 1607, Windows Server 2016, Windows 10, Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 7 Service Pack 1, Windows Server 2008 R2 Service Pack 1, Windows Server 2008 Service Pack 2
La lista de actualizaciones de Windows se ve afectada por la actualización de seguridad
Cualquier última actualización acumulativa (LCU) o paquetes acumulativos mensuales lanzados el 8 de octubre de 2019 o posterior para las plataformas afectadas puede experimentar este problema:
- KB4517389 LCU para Windows 10, versión 1903.
- KB4519338 LCU para Windows 10, versión 1809 y Windows Server 2019.
- KB4520008 LCU para Windows 10, versión 1803.
- KB4520004 LCU para Windows 10, versión 1709.
- KB4520010 LCU para Windows 10, versión 1703.
- KB4519998 LCU para Windows 10, versión 1607 y Windows Server 2016.
- KB4520011 LCU para Windows 10, versión 1507.
- Paquete acumulativo mensual KB4520005 para Windows 8.1 y Windows Server 2012 R2.
- Paquete acumulativo mensual KB4520007 para Windows Server 2012.
- Paquete acumulativo mensual KB4519976 para Windows 7 SP1 y Windows Server 2008 R2 SP1.
- Paquete acumulativo mensual KB4520002 para Windows Server 2008 SP2
- KB4519990 Actualización solo de seguridad para Windows 8.1 y Windows Server 2012 R2.
- KB4519985 Actualización solo de seguridad para Windows Server 2012 y Windows Embedded 8 Standard.
- KB4520003 Actualización solo de seguridad para Windows 7 SP1 y Windows Server 2008 R2 SP1
- KB4520009 Actualización solo de seguridad para Windows Server 2008 SP2
Soluciones para fallas TLS, tiempos de espera en Windows
Según Microsoft, hay tres formas de corregir fallas y tiempos de espera de TLS
Habilite EMS en el cliente y el servidor, Eliminar conjuntos de cifrado TLS_DHE_ *, Habilitar / deshabilitar EMS en Windows 10 / Windows Server
Tenga en cuenta que existen inconvenientes para las soluciones alternativas, especialmente desde la perspectiva de la seguridad.
Habilite EMS tanto en el cliente como en el servidor
Como sabemos que si ambas partes tienen EMS instalado, entonces el problema no ocurre, por lo que la solución es obvia. Si bien EMS se ha habilitado de forma predeterminada para cualquier versión posterior al 8 de octubre de 2019, de lo contrario, asegúrese de habilitar la compatibilidad con la extensión Extend Master Secret (EMS).
Si usted es un administrador de TI, asegúrese de admitir la reanudación de EMS tal como se define en RFC 7627 por completo.
Eliminar TLS_DHE_ * conjuntos de cifrado
Si el sistema operativo no admite EMS, el administrador de TI debe eliminar los conjuntos de cifrado TLS_DHE_ * de la lista de conjuntos de cifrado en el sistema operativo del dispositivo cliente TLS. La documentación completa para priorizar Schannel Cipher Suites está disponible.
Dicho esto, estos son una solución temporal, y deshabilitarlos solo significa que estás invitando a un ataque de hombre en el medio
Habilitar / deshabilitar EMS en Windows 10 / Windows Server
Si, por cualquier problema de TLS, ha deshabilitado EMS en su computadora, utilice la configuración del registro tanto en el servidor como en el cliente para habilitarlo.
- Editor de registro abierto
- Navegue a HKLM \ System \ CurrentControlSet \ Control \ SecurityProviders \ Schannel. En el servidor TLS: DisableServerExtendedMasterSecret: 0. En el cliente TLS: DisableClientExtendedMasterSecret: 0