Solutions de contournement pour les échecs TLS, les délais d'attente dans les systèmes Windows

Nous avons parlé de la Poignée de main TLS, et comment ça peut échouer. Nous avons également signalé que de nombreux échecs TLS s'étaient produits parce que Microsoft avait essayé de réparer quelque chose. Une mise à jour de sécurité CVE-2019-1318 a provoqué le déploiement récent de TLS et SSL. Cela a entraîné des échecs ou une longue durée des connexions TLS par intermittence, ce qui a entraîné un délai d'attente. Dans cet article, nous partagerons les solutions de contournement pour les échecs et les délais d'attente TLS dans les systèmes Windows.

Les erreurs suivantes sont courantes en raison de ce problème persistant :

• La demande a été abandonnée : impossible de créer un canal sécurisé SSL/TLS
• Erreur 0x8009030f
• Une erreur consignée dans le journal des événements système pour l'événement SCHANNEL 36887 avec le code d'alerte 20 et la description : "Une alerte fatale a été reçue du point de terminaison distant. Le code d'alerte fatale défini par le protocole TLS est 20.?"

Quelles versions de Windows sont affectées par les échecs TLS?

La vulnérabilité peut donner à l'attaquant une chance d'effectuer une attaque man-in-the-middle. Cela a été corrigé par la mise à jour, et cela a entraîné des échecs TLS, des délais d'attente dans les systèmes Windows.

Microsoft a souligné que cela ne se produit que lorsque les appareils essaient d'établir des connexions TLS avec des appareils sans prise en charge de l'extension Extended Master Secret. Si les appareils ont la version prise en charge, cela ne se produit pas. Voici les versions de Windows concernées à ce jour :

1. Windows 10 version 1607
2. Serveur Windows 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Serveur Windows 2012
7. Windows 7 Service Pack 1
8. Windows Server 2008 R2 Service Pack 1
9. Windows Server 2008 Service Pack 2

La liste des mises à jour Windows est affectée en raison de la mise à jour de sécurité

Toute dernière mise à jour cumulative (LCU) ou cumul mensuel publié le 8 octobre 2019 ou ultérieurement pour les plates-formes concernées peut rencontrer ce problème :

1. KB4517389 LCU pour Windows 10, version 1903.
2. KB4519338 LCU pour Windows 10, version 1809 et Windows Server 2019.
3. KB4520008 LCU pour Windows 10, version 1803.
4. KB4520004 LCU pour Windows 10, version 1709.
5. KB4520010 LCU pour Windows 10, version 1703.
6. KB4519998 LCU pour Windows 10, version 1607 et Windows Server 2016.
7. KB4520011 LCU pour Windows 10, version 1507.
8. KB4520005 Cumul mensuel pour Windows 8.1 et Windows Server 2012 R2.
9. KB4520007 Cumul mensuel pour Windows Server 2012.
10. KB4519976 Cumul mensuel pour Windows 7 SP1 et Windows Server 2008 R2 SP1.
11. KB4520002 Cumul mensuel pour Windows Server 2008 SP2
12. KB4519990 Mise à jour de sécurité uniquement pour Windows 8.1 et Windows Server 2012 R2.
13. KB4519985 Mise à jour de sécurité uniquement pour Windows Server 2012 et Windows Embedded 8 Standard.
14. KB4520003 Mise à jour de sécurité uniquement pour Windows 7 SP1 et Windows Server 2008 R2 SP1
15. KB4520009 Mise à jour de sécurité uniquement pour Windows Server 2008 SP2

Solutions de contournement pour les échecs TLS, les délais d'attente dans Windows

Selon Microsoft, il existe trois façons de corriger les échecs et les délais d'attente de TLS.

1. Activer EMS sur le client et le serveur
2. Supprimer les suites de chiffrement TLS_DHE_*
3. Activer/désactiver EMS sur Windows 10/Windows Server

Sachez qu'il existe des inconvénients aux solutions de contournement, en particulier du point de vue de la sécurité.

1] Activer EMS sur le client et le serveur

Comme nous savons que si les deux côtés ont EMS installé, le problème ne se produit pas, donc la solution est évidente.  Alors que EMS a été activé par défaut pour toute version après le 8 octobre 2019, sinon, assurez-vous de Activer la prise en charge de l'extension Extend Master Secret (EMS).

Si vous êtes un administrateur informatique, assurez-vous de prendre pleinement en charge la reprise EMS telle que définie par la RFC 7627.

2] Supprimer les suites de chiffrement TLS_DHE_*

Si le système d'exploitation ne prend pas en charge EMS, l'administrateur informatique doit supprimer les suites de chiffrement TLS_DHE_* de la liste des suites de chiffrement dans le système d'exploitation du périphérique client TLS. Une documentation complète pour hiérarchiser les suites de chiffrement Schannel est disponible.

Cela dit, il s'agit d'une solution temporaire, et les désactiver signifie uniquement que vous invitez une attaque de l'homme du milieu

3] Activer/Désactiver EMS sur Windows 10/Windows Server

Si, pour un problème TLS, vous avez désactivé EMS sur votre ordinateur, utilisez les paramètres de registre sur le serveur et le client pour l'activer.

• Ouvrir l'éditeur de registre
• Accédez à HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
  • Sur le serveur TLS : DisableServerExtendedMasterSecret : 0
  • Sur le client TLS : DisableClientExtendedMasterSecret : 0

S'ils ne sont pas disponibles, vous pouvez les créer.

J'espère que ces solutions de contournement ont été utiles pour résoudre temporairement le problème auquel vous êtes confronté avec TLS. Gardez un œil sur les mises à jour qui seront déployées pour résoudre ce problème