Solusi untuk Kegagalan TLS, Timeout di sistem Windows

Kami telah berbicara tentang jabat tangan TLS, dan bagaimana itu bisa gagal. Kami juga menandai bahwa banyak kegagalan TLS telah terjadi karena Microsoft mencoba memperbaiki sesuatu. Keamanan yang diperbarui CVE-2019-1318 telah menyebabkan yang terbaru diluncurkan untuk TLS dan SSL. Ini telah mengakibatkan koneksi TLS gagal sebentar-sebentar atau memakan waktu lama dan mengakibatkan batas waktu. Dalam posting ini, kami akan membagikan solusi untuk Kegagalan dan Batas Waktu TLS di sistem Windows.

Kesalahan berikut sering terjadi karena masalah yang sedang berlangsung ini:

• Permintaan dibatalkan: Tidak dapat membuat Saluran aman SSL/TLS
• Kesalahan 0x8009030f
• Terjadi kesalahan yang dicatat dalam Log Peristiwa Sistem untuk peristiwa SCHANNEL 36887 dengan kode peringatan 20 dan deskripsi, “Peringatan fatal diterima dari titik akhir jarak jauh. Kode peringatan fatal yang ditetapkan protokol TLS adalah 20.?”

Versi Windows mana yang terpengaruh dengan Kegagalan TLS?

Kerentanan dapat memberi penyerang kesempatan untuk melakukan serangan man-in-the-middle. Ini diperbaiki oleh pembaruan, dan itu mengakibatkan Kegagalan TLS, Timeout di sistem Windows.

Microsoft menunjukkan bahwa itu hanya terjadi ketika perangkat mencoba membuat koneksi TLS ke perangkat tanpa dukungan untuk ekstensi Rahasia Master yang Diperluas. Jika perangkat memiliki versi yang didukung, maka itu tidak terjadi. Berikut adalah versi Windows yang terpengaruh sampai sekarang:

1. Windows 10 Versi 1607
2. Windows Server 2016
3. Windows 10
4. Windows 8.1
5. Windows Server 2012 R2
6. Windows Server 2012
7. Paket Layanan Windows 7 1
8. Paket Layanan Windows Server 2008 R2 1
9. Paket Layanan Windows Server 2008 2

Daftar Pembaruan Windows terpengaruh karena pembaruan keamanan

Pembaruan kumulatif (LCU) atau Batal Bulanan terbaru apa pun yang dirilis pada 8 Oktober 2019, atau lebih baru untuk platform yang terpengaruh mungkin mengalami masalah ini:

1. KB4517389 LCU untuk Windows 10, versi 1903.
2. KB4519338 LCU untuk Windows 10, versi 1809, dan Windows Server 2019.
3. KB4520008 LCU untuk Windows 10, versi 1803.
4. KB4520004 LCU untuk Windows 10, versi 1709.
5. KB4520010 LCU untuk Windows 10, versi 1703.
6. KB4519998 LCU untuk Windows 10, versi 1607, dan Windows Server 2016.
7. KB4520011 LCU untuk Windows 10, versi 1507.
8. KB4520005 Rollup Bulanan untuk Windows 8.1 dan Windows Server 2012 R2.
9. KB4520007 Rollup Bulanan untuk Windows Server 2012.
10. KB4519976 Batal Bulanan untuk Windows 7 SP1 dan Windows Server 2008 R2 SP1.
11. KB4520002 Rollup Bulanan untuk Windows Server 2008 SP2
12. KB4519990 Pembaruan khusus keamanan untuk Windows 8.1 dan Windows Server 2012 R2.
13. KB4519985 Pembaruan keamanan saja untuk Windows Server 2012 dan Windows Embedded 8 Standard.
14. KB4520003 Pembaruan keamanan saja untuk Windows 7 SP1 dan Windows Server 2008 R2 SP1
15. KB4520009 Pembaruan khusus keamanan untuk Windows Server 2008 SP2

Solusi untuk Kegagalan TLS, Timeout di Windows

Menurut Microsoft, ada tiga cara untuk memperbaiki kegagalan dan batas waktu TLS.

1. Aktifkan EMS di klien dan server
2. Hapus rangkaian sandi TLS_DHE_*
3. Aktifkan/Nonaktifkan EMS di Windows 10/Windows Server

Sadarilah bahwa ada kekurangan pada solusi ini, terutama dari perspektif keamanan.

1] Aktifkan EMS di klien dan server

Seperti yang kita ketahui bahwa jika kedua belah pihak telah menginstal EMS, maka masalah tidak terjadi, jadi solusinya sudah jelas.  Meskipun EMS telah diaktifkan secara default untuk rilis apa pun setelah 8 Oktober 2019, jika tidak, pastikan untuk Aktifkan dukungan untuk ekstensi Extend Master Secret (EMS).

Jika Anda seorang admin TI, pastikan untuk mendukung dimulainya kembali EMS seperti yang didefinisikan oleh RFC 7627 sepenuhnya.

2] Hapus rangkaian sandi TLS_DHE_*

Jika sistem operasi tidak mendukung EMS, maka admin TI perlu menghapus rangkaian sandi TLS_DHE_* dari daftar rangkaian sandi di OS perangkat klien TLS. Dokumentasi lengkap untuk Prioritas Schannel Cipher Suites tersedia.

Yang mengatakan, ini adalah perbaikan sementara, dan menonaktifkannya hanya berarti Anda mengundang serangan man-in-the-middle

3] Aktifkan/Nonaktifkan EMS di Windows 10/Windows Server

Jika, untuk masalah TLS apa pun, Anda telah menonaktifkan EMS di komputer Anda, gunakan pengaturan registri di server dan klien untuk mengaktifkannya.

• Buka Penyunting Registri
• Arahkan ke HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
  • Di Server TLS: DisableServerExtendedMasterSecret: 0
  • Pada Klien TLS: DisableClientExtendedMasterSecret: 0

Jika tidak tersedia, Anda dapat membuatnya.

Saya harap solusi ini berguna untuk memperbaiki masalah yang Anda hadapi dengan TLS sementara. Awasi pembaruan yang akan diluncurkan untuk memperbaiki masalah ini