Windows：具有TLS连接的超时[解决方法]

　　Windows：具有TLS连接的超时[解决方法]

　　Windows 7中的Windows 8.1和各种Windows Server版本在安装最新的2019年10月更新后TLS连接超时。Microsoft已在支持文章中确认了这些TLS超时。

　　Microsoft支持文章4528489(连接时传输层安全性(TLS)连接可能间歇性失败或超时)包含详细信息。

　　错误说明

　　尝试连接到[服务器]时，传输层安全性(TLS)和安全套接字层(SSL)可能会暂时失败或超时。将显示以下一个或多个错误：

　　•“请求已中止：无法创建SSL / TLS安全通道”

　　•错误0x800903030f(SEC_E_MESSAGE_ALTERED)

　　•在系统事件日志的SCHANNEL事件36887中记录了一个错误，警报代码为20，并且描述为“从远程端点接收到致命警报。TLS协议定义的致命警报代码为20。

　　造成此问题的原因是Microsoft 在2019年8月通过更新关闭了漏洞CVE-2019-1318。现在从2019年10月开始的更新似乎会导致TLS超时。

　　哪些Windows版本受到影响?

　　不幸的是，该修补程序是通过对Windows 7，Windows 8.1和仍支持的各种Windows Server版本的各种更新分发的。受影响的以下Windows版本截至2019年10月8日(或更高版本)已收到累积更新和汇总：

　　•Windows Server 1607版和Windows Server 2016的KB4519998 LCU。

　　•Windows 8.1和Windows Server 2012 R2的KB4520005每月汇总。

　　•Windows Server 2012的KB4520007每月汇总。

　　•Windows 7 SP1和Windows Server 2008 R2 SP1的KB4519976每月汇总。

　　•KB4520002 Windows Server 2008 SP2的月度汇总

　　还受到影响的系统已收到以下日期为2019年10月8日的仅安全更新。

　　•KB4519990 Windows 8.1和Windows Server 2012 R2的仅安全更新。

　　•KB4519985 Windows Server 2012和Windows Embedded 8 Standard的仅安全更新。

　　•KB4520003 Windows 7 SP1和Windows Server 2008 R2 SP1的仅安全更新

　　•Windows Server 2008 SP2的KB4520009仅安全更新

　　凡是在计算机上安装了这些更新并收到TLS错误的人，都应做出反应并尝试以下解决方法。

　　TLS问题的解决方法

　　Microsoft在支持文章中陈述了两种变通办法，可以通过这些变通办法减轻TLS超时问题。

　　•在客户端和服务器操作系统上执行TLS连接时，启用对扩展主密钥(EMS)扩展的支持。RFC 7627中定义的EMS已在2015日历年中添加到Windows的受支持版本。2019年10月8日或之后发布的任何更新将默认为CVE-2019-1318启用EMS 。

　　•或者：对于不支持EMS的操作系统，请从TLS客户端设备的操作系统的密码套件列表中删除TLS_DHE_ *密码套件。有关如何在Windows上执行此操作的说明，请参阅优先处理Schannel密码套件。

　　Microsoft不建议您禁用EMS。如果先前明确禁用了EMS，则可以通过设置以下注册表项值来重新启用它：

　　HKLM 系统 CurrentControlSet 控制 SecurityProviders Schannel中

　　在TLS服务器上：DisableServerExtendedMasterSecret：0

　　在TLS客户端上：DisableClientExtendedMasterSecret：0