Windows 系统中 TLS 故障、超时的解决方法

　　我们已经讨论了 TLS ，以及它如何失败。我们还标记了许多TLS故障的发生，因为Microsoft尝试修复某些问题。安全更新的 CVE-2019-1318 导致最近针对 TLS 和 SSL 滚动的 CVE-2019-1318。它导致 TLS 连接间歇性失败或花费很长时间，并导致超时。在这篇文章中，我们将分享 Windows 系统中 TLS 故障和超时的解决方法。

　　由于这个持续存在的问题，以下错误很常见：

　　• 请求已中止：无法创建 SSL/TLS 安全通道

　　• 错误0x8009030f

　　• SCHANNEL 事件 36887 的系统事件日志中记录了一个错误，警报代码为 20，说明为“从远程终结点收到致命警报。TLS 协议定义的致命警报代码是 20。

　　哪些版本的 Windows 受 TLS 故障影响?

　　该漏洞可能使攻击者有机会执行中间人攻击。此更新已修复此问题，并导致 Windows 系统中的 TLS 故障、超时。

　　Microsoft指出，只有当设备尝试与不支持扩展主密钥扩展的设备建立TLS连接时，才会发生这种情况。如果设备具有受支持的版本，则不会发生。以下是截至目前受影响的 Windows 版本列表：

　　1. Windows 10 版本 1607

　　2. Windows 服务器 2016

　　3. Windows 10

　　4. Windows 8.1

　　5. Windows 服务器 2012 R2

　　6. Windows 服务器 2012

　　7. Windows 7 服务包 1

　　8. Windows Server 2008 R2 服务包 1

　　9. Windows Server 2008 服务包 2

　　Windows 更新列表因安全更新而受到影响

　　2019 年 10 月 8 日或更高版本为受影响的平台发布的任何最新累积更新 (LCU) 或月度汇总都可能会遇到此问题：

　　1. KB4517389适用于 Windows 10 版本 1903 的 LCU。

　　2. KB4519338适用于 Windows 10 版本 1809 和 Windows Server 2019 的 LCU。

　　3. KB4520008适用于 Windows 10 版本 1803 的 LCU。

　　4. KB4520004适用于 Windows 10 版本 1709 的 LCU。

　　5. KB4520010适用于 Windows 10 版本 1703 的 LCU。

　　6. KB4519998适用于 Windows 10 版本 1607 和 Windows Server 2016 的 LCU。

　　7. KB4520011适用于 Windows 10 版本 1507 的 LCU。

　　8. KB4520005 Windows 8.1 和 Windows Server 2012 R2 的月度汇总。

　　9. KB4520007 Windows Server 2012 月度汇总。

　　10. KB4519976 Windows 7 SP1 和 Windows Server 2008 R2 SP1 的月度汇总。

　　11. KB4520002 Windows Server 2008 SP2 月度汇总

　　12. KB4519990 Windows 8.1 和 Windows Server 2012 R2 的仅安全更新。

　　13. KB4519985 Windows Server 2012 和 Windows Embedded 8 Standard 的仅安全更新。

　　14. KB4520003 Windows 7 SP1 和 Windows Server 2008 R2 SP1 的仅安全更新

　　15. KB4520009 Windows Server 2008 SP2 的仅安全更新

　　Windows 中 TLS 故障、超时的解决方法

　　根据Microsoft的说法，有三种方法可以修复TLS故障和超时。

　　1. 在客户端和服务器上启用 EMS

　　2. 删除 TLS_DHE_* 密码套件

　　3. 在 Windows 10/Windows Server 上启用/禁用 EMS

　　请注意，变通方法存在一些缺点，尤其是从安全角度来看。

　　一、 在客户端和服务器上启用 EMS

　　众所周知，如果双方都安装了EMS，则不会发生问题，因此解决方案是显而易见的。虽然 2019 年 10 月 8 日之后的任何版本都默认启用了 EMS，但如果没有，请确保启用对扩展主密钥 (EMS) 扩展的支持。

　　如果你是 IT 管理员，请确保完全支持 RFC 7627 定义的 EMS 恢复。

　　二、 删除 TLS_DHE_* 密码套件

　　如果操作系统不支持 EMS，则 IT 管理员需要从 TLS 客户端设备操作系统的密码套件列表中删除 TLS_DHE_* 密码套件。提供了有关确定 Schannel 密码套件优先级的完整文档。

　　也就是说，这些都是临时修复，禁用它们仅意味着您正在招致中间人攻击

　　三、 在 Windows 10/Windows Server 上启用/禁用 EMS

　　如果对于任何 TLS 问题，您已在计算机上禁用了 EMS，请使用服务器和客户端上的注册表设置来启用它。

　　• 打开注册表编辑器

　　• 导航到 HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

　　o 在 TLS 服务器上：DisableServerExtendedMasterSecret：0

　　o 在 TLS 客户端上：DisableClientExtendedMasterSecret：0