हमने TLS हैंडशेक . के बारे में बात की है , और यह कैसे विफल हो सकता है। हमने यह भी चिह्नित किया कि बहुत सी टीएलएस विफलताएं हुई थीं क्योंकि माइक्रोसॉफ्ट ने कुछ ठीक करने की कोशिश की थी। एक सुरक्षा अद्यतन सीवीई-2019-1318 ने हाल ही में टीएलएस और एसएसएल के लिए रोल किया है। इसके परिणामस्वरूप TLS कनेक्शन रुक-रुक कर विफल हो रहे हैं या लंबा समय ले रहे हैं और इसके परिणामस्वरूप टाइमआउट हो गया है। इस पोस्ट में, हम विंडोज सिस्टम में टीएलएस विफलताओं और टाइमआउट के लिए समाधान साझा करेंगे।
इस चल रही समस्या के कारण निम्न त्रुटियां आम हैं:
- अनुरोध निरस्त कर दिया गया था:SSL/TLS सुरक्षित चैनल नहीं बना सका
- त्रुटि 0x8009030f
- SCHANNEL ईवेंट 36887 के लिए सिस्टम इवेंट लॉग में अलर्ट कोड 20 और विवरण के साथ एक त्रुटि लॉग इन की गई, "रिमोट एंडपॉइंट से एक घातक अलर्ट प्राप्त हुआ था। टीएलएस प्रोटोकॉल परिभाषित घातक चेतावनी कोड 20 है।?"
Windows के कौन से संस्करण TLS विफलताओं से प्रभावित हैं?
भेद्यता हमलावर को बीच-बीच में हमला करने का मौका दे सकती है। यह अद्यतन द्वारा तय किया गया था, और इसके परिणामस्वरूप विंडोज सिस्टम में टीएलएस विफलता, टाइमआउट।
माइक्रोसॉफ्ट ने बताया कि यह केवल तब होता है जब डिवाइस विस्तारित मास्टर सीक्रेट एक्सटेंशन के समर्थन के बिना डिवाइस से टीएलएस कनेक्शन बनाने की कोशिश कर रहे हैं। यदि उपकरणों में समर्थित संस्करण है, तो ऐसा नहीं होता है। अब तक प्रभावित विंडोज़ संस्करणों में से कुछ इस प्रकार हैं:
- विंडोज 10 संस्करण 1607
- विंडोज सर्वर 2016
- विंडोज 10
- विंडोज 8.1
- विंडोज सर्वर 2012 R2
- विंडोज सर्वर 2012
- विंडोज 7 सर्विस पैक 1
- Windows Server 2008 R2 सर्विस पैक 1
- Windows Server 2008 सर्विस पैक 2
सुरक्षा अद्यतन के कारण Windows अद्यतनों की सूची प्रभावित होती है
किसी भी नवीनतम संचयी अद्यतन (एलसीयू) या मासिक रोलअप को 8 अक्टूबर, 2019 को या बाद में प्रभावित प्लेटफॉर्म के लिए जारी किया गया है, इस समस्या का अनुभव हो सकता है:
- Windows 10 के लिए KB4517389 LCU, संस्करण 1903.
- Windows 10, संस्करण 1809, और Windows Server 2019 के लिए KB4519338 LCU।
- Windows 10 के लिए KB4520008 LCU, संस्करण 1803।
- Windows 10 के लिए KB4520004 LCU, संस्करण 1709.
- Windows 10 के लिए KB4520010 LCU, संस्करण 1703.
- Windows 10, संस्करण 1607, और Windows Server 2016 के लिए KB4519998 LCU.
- Windows 10 के लिए KB4520011 LCU, संस्करण 1507.
- KB4520005 Windows 8.1 और Windows Server 2012 R2 के लिए मासिक रोलअप।
- KB4520007 Windows Server 2012 के लिए मासिक रोलअप।
- Windows 7 SP1 और Windows Server 2008 R2 SP1 के लिए KB4519976 मासिक रोलअप।
- KB4520002 Windows Server 2008 SP2 के लिए मासिक रोलअप
- KB4519990 Windows 8.1 और Windows Server 2012 R2 के लिए केवल सुरक्षा अद्यतन।
- KB4519985 Windows Server 2012 और Windows एम्बेडेड 8 मानक के लिए केवल सुरक्षा अद्यतन।
- Windows 7 SP1 और Windows Server 2008 R2 SP1 के लिए KB4520003 केवल सुरक्षा अद्यतन
- KB4520009 Windows Server 2008 SP2 के लिए केवल सुरक्षा अपडेट
टीएलएस विफलताओं के लिए समाधान, विंडोज़ में टाइमआउट्स
Microsoft के अनुसार, TLS विफलताओं और समय समाप्ति को ठीक करने के तीन तरीके हैं।
- क्लाइंट और सर्वर दोनों पर ईएमएस सक्षम करें
- TLS_DHE_* सिफर सुइट निकालें
- Windows 10/Windows सर्वर पर EMS सक्षम/अक्षम करें
सावधान रहें कि वर्कअराउंड में कमियां हैं, विशेष रूप से सुरक्षा के दृष्टिकोण से।
1] क्लाइंट और सर्वर दोनों पर EMS सक्षम करें
जैसा कि हम जानते हैं कि यदि दोनों पक्षों ने ईएमएस स्थापित किया है, तो समस्या उत्पन्न नहीं होती है, इसलिए समाधान स्पष्ट है। जबकि ईएमएस को 8 अक्टूबर, 2019 के बाद किसी भी रिलीज के लिए डिफ़ॉल्ट रूप से सक्षम किया गया है, यदि नहीं, तो एक्सटेंड मास्टर सीक्रेट (ईएमएस) एक्सटेंशन के लिए समर्थन सक्षम करना सुनिश्चित करें।
यदि आप एक आईटी व्यवस्थापक हैं, तो सुनिश्चित करें कि आरएफसी 7627 द्वारा परिभाषित ईएमएस बहाली का पूरी तरह से समर्थन करें।
2] TLS_DHE_* सिफर सुइट निकालें
यदि ऑपरेटिंग सिस्टम ईएमएस का समर्थन नहीं करता है, तो आईटी व्यवस्थापक को टीएलएस क्लाइंट डिवाइस के ओएस में सिफर सूट सूची से टीएलएस_डीएचई_* सिफर सूट को हटाने की जरूरत है। चैनल सिफर सूट को प्राथमिकता देने के लिए पूरा दस्तावेज उपलब्ध है।
उस ने कहा, ये एक अस्थायी सुधार हैं, और इन्हें अक्षम करने का मतलब केवल यह है कि आप एक मैन-इन-द-बीच-हमले को आमंत्रित कर रहे हैं
3] Windows 10/Windows सर्वर पर EMS सक्षम/अक्षम करें
यदि, किसी टीएलएस समस्या के लिए, आपने अपने कंप्यूटर पर ईएमएस को अक्षम कर दिया था, तो इसे सक्षम करने के लिए सर्वर और क्लाइंट दोनों पर रजिस्ट्री सेटिंग्स का उपयोग करें।
- रजिस्ट्री संपादक खोलें
- HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel पर नेविगेट करें
- टीएलएस सर्वर पर:DisableServerExtendedMasterSecret:0
- टीएलएस क्लाइंट पर:DisableClientExtendedMasterSecret:0
यदि वे उपलब्ध नहीं हैं, तो आप उन्हें बना सकते हैं।
मुझे आशा है कि ये समाधान उस समस्या को ठीक करने के लिए उपयोगी थे जिसका आप अस्थायी रूप से टीएलएस के साथ सामना कर रहे हैं। इस समस्या को ठीक करने के लिए अपडेट होने वाले अपडेट पर नज़र रखें