TLS Timeout Problem unter Windows 7, 8.1 sowie Windows 10 und Server 2016 (1607) inklusive Workaround

Microsoft hatte Anfang Oktober eine Sicherheitslücke CVE-2019-1318 im Windows TLS (Transport Layer Security) unter Windows Server (1607), Windows 8.1 und Windows 7 geschlossen. Dadurch kann es aber nun zu einem Timeout oder einem zeitweisen Ausfall kommen.

Die Fehlermeldung dazu lautet: „Die Anfrage wurde abgebrochen: SSL/TLS Secure Channel konnte nicht erstellt werden. Fehler 0x8009030f“. In der Ereignisanzeige erscheint unter „SCHANNEL event 36887“ der Fehlercode 20. Microsoft hat aber einen Workaround dafür bereitgestellt.

Workaround:

Unterstützung für Extend Master Secret (EMS) Erweiterungen aktivieren, wenn TLS-Verbindungen sowohl auf dem Client als auch auf dem Server-Betriebssystem durchgeführt werden. EMS gemäß RFC 7627 wurde im Kalenderjahr 2015 zu den unterstützten Versionen von Windows hinzugefügt. Jedes Update, das am oder nach dem 8. Oktober 2019 veröffentlicht wird, hat EMS standardmäßig für die CVE-2019-1318 aktiviert.

Für Betriebssysteme, die kein EMS unterstützen, entfernen Sie die TLS_DHE_*-Chiffriersammlungen aus der Liste der Chiffriersammlungen im Betriebssystem des TLS-Clientgerätes. Siehe hier

Hinweis: Microsoft empfiehlt nicht, EMS zu deaktivieren. Wenn EMS explizit deaktiviert wurde, kann es wieder aktiviert werden, indem man folgende Registry-Schlüsselwerte setzt:

  • HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
  • Auf TLS-Server: DisableServerExtendedMasterSecret: 0
  • Auf TLS-Client: DisableClientExtendedMasterSecret: 0

Betroffene Systeme

  • Kumulatives Update oder Rollup-Update, welches am 8.10 oder später veröffentlicht wird.
  • KB4519998 LCU für Windows Server, Version 1607 und Windows Server 2016.
  • KB4520005 Monatliches Rollup für Windows 8.1 und Windows Server 2012 R2.
  • KB4520007 Monatliches Rollup für Windows Server 2012.
  • KB4519976 Monatliches Rollup für Windows 7 SP1 und Windows Server 2008 R2 SP1.
  • KB4520002 Monatliches Rollup für Windows Server 2008 SP2
  • Sicherheitsupdate:
  • KB4519985 Sicherheits-Update für Windows Server 2012 und Windows Embedded 8 Standard.
  • KB4520003 Nur Sicherheitsupdate für Windows 7 SP1 und Windows Server 2008 R2 SP1
  • KB4520009 Nur-Sicherheits-Update für Windows Server 2008 SP2
TLS Timeout Problem unter Windows 7, 8.1 sowie Windows 10 und Server 2016 (1607) inklusive Workaround
weitere Artikel zu diesem Thema
zu den aktuellen News

Ein Kommentar zu “TLS Timeout Problem unter Windows 7, 8.1 sowie Windows 10 und Server 2016 (1607) inklusive Workaround

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Hiermit akzeptiere ich die Datenschutzerklärung für diesen Kommentar.