Windows
 Computer >> コンピューター >  >> システム >> Windows

WindowsシステムでのTLS障害、タイムアウトの回避策

TLSハンドシェイクについて話しました 、およびそれがどのように失敗する可能性があるか。また、Microsoftが何かを修正しようとしたために、多くのTLS障害が発生したことも示しました。セキュリティが更新されたCVE-2019-1318により、最近のCVE-2019-1318がTLSおよびSSLにロールバックされました。その結果、TLS接続が断続的に失敗したり、時間がかかったりして、タイムアウトが発生しました。この投稿では、WindowsシステムでのTLS障害とタイムアウトの回避策を共有します。

WindowsシステムでのTLS障害、タイムアウトの回避策

この進行中の問題のため、次のエラーが一般的です:

  • リクエストは中止されました:SSL/TLSのセキュリティで保護されたチャネルを作成できませんでした
  • エラー0x8009030f
  • SCHANNELイベント36887のシステムイベントログに、アラートコード20と説明「リモートエンドポイントから致命的なアラートを受信しました。 TLSプロトコルで定義された致命的なアラートコードは20です。」

どのバージョンのWindowsがTLS障害の影響を受けますか?

この脆弱性により、攻撃者は中間者攻撃を実行する可能性があります。これはアップデートによって修正され、WindowsシステムでTLS障害、タイムアウトが発生しました。

Microsoftは、デバイスが拡張マスターシークレット拡張機能をサポートせずにデバイスにTLS接続を確立しようとしている場合にのみ発生することを指摘しました。デバイスにサポートされているバージョンがある場合、それは発生しません。現在影響を受けているWindowsのバージョンは次のとおりです。

  1. Windows10バージョン1607
  2. Windows Server 2016
  3. Windows 10
  4. Windows 8.1
  5. Windows Server 2012 R2
  6. Windows Server 2012
  7. Windows 7 Service Pack 1
  8. Windows Server 2008 R2 Service Pack 1
  9. Windows Server 2008 Service Pack 2

セキュリティアップデートのため、WindowsUpdateのリストが影響を受けます

2019年10月8日以降にリリースされた、影響を受けるプラットフォームの最新の累積的な更新(LCU)または月次ロールアップでこの問題が発生する可能性があります:

  1. KB4517389 LCU for Windows 10、バージョン1903。
  2. KB4519338 LCU for Windows 10、バージョン1809、およびWindowsServer2019。
  3. KB4520008 LCU for Windows 10、バージョン1803。
  4. KB4520004 LCU for Windows 10、バージョン1709。
  5. KB4520010 LCU for Windows 10、バージョン1703。
  6. KB4519998 LCU for Windows 10、バージョン1607、およびWindowsServer2016。
  7. KB4520011 LCU for Windows 10、バージョン1507。
  8. KB4520005Windows8.1およびWindowsServer2012R2の月次ロールアップ。
  9. KB4520007 WindowsServer2012の月次ロールアップ。
  10. KB4519976 Windows7SP1およびWindowsServer2008R2SP1の月次ロールアップ。
  11. KB4520002 Windows Server2008SP2の月次ロールアップ
  12. KB4519990Windows8.1およびWindowsServer2012R2のセキュリティのみの更新。
  13. KB4519985 WindowsServer2012およびWindowsEmbedded8Standardのセキュリティのみの更新。
  14. KB4520003 Windows7SP1およびWindowsServer2008R2SP1のセキュリティのみの更新
  15. KB4520009 Windows Server2008SP2のセキュリティのみの更新

TLS障害の回避策、Windowsでのタイムアウト

Microsoftによると、TLSの障害とタイムアウトを修正する方法は3つあります。

  1. クライアントとサーバーの両方でEMSを有効にする
  2. TLS_DHE_*暗号スイートを削除する
  3. Windows 10 /WindowsServerでEMSを有効/無効にする

特にセキュリティの観点から、回避策には欠点があることに注意してください。

1]クライアントとサーバーの両方でEMSを有効にする

両側にEMSがインストールされている場合、問題は発生しないため、解決策は明らかです。 2019年10月8日以降のリリースでは、EMSがデフォルトで有効になっていますが、有効になっていない場合は、必ず拡張マスターシークレット(EMS)拡張のサポートを有効にしてください。

IT管​​理者の場合は、RFC7627で定義されているEMS再開を完全にサポートするようにしてください。

2]TLS_DHE_*暗号スイートを削除します

オペレーティングシステムがEMSをサポートしていない場合、IT管理者はTLSクライアントデバイスのOSの暗号スイートリストからTLS_DHE_*暗号スイートを削除する必要があります。 Schannel暗号スイートの優先順位付けに関する完全なドキュメントが利用可能です。

とはいえ、これらは一時的な修正であり、無効にすると、中間者攻撃を招待することになります

3] Windows 10 /WindowsServerでEMSを有効/無効にする

TLSの問題で、コンピューターでEMSを無効にした場合は、サーバーとクライアントの両方のレジストリ設定を利用して有効にします。

  • レジストリエディタを開く
  • HKLM \ System \ CurrentControlSet \ Control \ SecurityProviders \Schannel
      に移動します
    • TLSサーバーの場合:DisableServerExtendedMasterSecret:0
    • TLSクライアントの場合:DisableClientExtendedMasterSecret:0

利用できない場合は、作成できます。

これらの回避策が、TLSで一時的に直面している問題を修正するのに役立つことを願っています。この問題を修正するために公開されるアップデートに注目してください

WindowsシステムでのTLS障害、タイムアウトの回避策
  1. Windows PC 向けの最高のオーバークロック ソフトウェア!

    Windows PC の速度が低下し、パフォーマンスが低下していると感じている場合は、その向上のためにオーバークロック ソフトウェアをダウンロードすることを検討してください。しかし、最高のオーバークロック ソフトウェアを推奨している理由と、それは何ですか?さて、ここでそれを理解しましょう。 オーバークロックとは、基本的に、特定のコンポーネントのクロック レートを、既に構成されているものよりも高速化することです。あなたはプロのマシン ユーザーであり、システム全体を交換したくないので、PC をオーバークロックでアップグレードすることをお勧めします。この再構成は通常、CPU、GPU、および RAM

  2. Windows 11 で DNS サーバーを変更する方法

    プライバシーを強化したい場合は、Windows 11 PC/ラップトップで DNS 設定を構成する必要があります。 Web ページが開かれている場合でも、アプリがバックグラウンドでサーバーに接続しようとしている場合でも、コンピューター上のすべてのインターネット通信を保護します。この分野に慣れていない場合は、この詳細な記事を読んで、Windows 11 で DNS サーバーを変更する方法を確認してください。 関連項目:Windows 11 でボリューム ラベルを変更する方法 DNS とは何ですか? なぜ DNS を変更する必要があるのですか? 私たちの多くは、インターネットに接続するため