微軟在Windows 10儀表盤日志中確認最新累積更新可能導致某些不支持擴展主密鑰的客戶端出現(xiàn)安全連接超時。這個問題實際上是微軟修復 CVE-2019-1318 安全漏洞導致的，攻擊者利用這個漏洞可發(fā)起中間人攻擊竊取數(shù)據(jù)。嚴格來說這個問題并不是獨立產生的，而是在微軟修復漏洞后可能存在兼容性問題，導致系統(tǒng)無法正常安全連接。

TLS連接失敗或連接超時：

微軟表示如果連接雙方都已經安裝安全更新修復該安全漏洞，則不太可能會出現(xiàn)這個加密安全連接的兼容性故障。問題在于Windows如果嘗試連接到不支持擴展主密鑰恢復的TLS客戶端或者服務器 , 那么就會無法正常進行連接。用戶若嘗試連接則系統(tǒng)會提示「請求已中止 : 無法創(chuàng)建愛你SSL/TLS 安全通道」錯誤然后導致整個連接自動終止。而在Windows系統(tǒng)事件查看器里會記錄已從遠程端點收到致命警報, TLS安全協(xié)議定義的致命警告錯誤代碼為20。

#RFC 7627

The request was aborted: Could not create SSL/TLS secure Channel

SCHANNEL event 36887 is logged in the System event log with the description, "A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 20."

影響所有受支持的Windows版本：

由于漏洞緣故微軟發(fā)布的更新是面向所有受支持的 Windows 版本，而這些已安裝更新的系統(tǒng)都可能遇到此問題。包括 Windows 7 SP1、Windows 8.1 Update、Windows 10 所有受支持的版本、Windows 10 LTS 所有版本。同時Windows Server 2008 R2 SP1/SP2、Windows Server 2012/2012R2、Windows Server 2019亦受影響。

解決辦法倒是非常簡單：

針對該問題最直接的解決辦法就是直接安裝最新的累積更新，只要安裝后就可以直接解決該問題無需額外的操作。在安裝最新累積更新后微軟會為系統(tǒng)自動啟動擴展主密鑰支持，更新的設備或服務器之間互相連接都會正常通信。而對不支持擴展主密鑰支持的操作系統(tǒng)需要管理員手動從TLS客戶端加密套件中刪除TLS_DHE_*，幫助文檔點我。需要強調的是微軟不建議禁用擴展主密鑰，如果用戶此前手動禁用過擴展主密鑰請通過以下注冊表進行恢復啟用。

#注冊表路徑

HEKY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersSchannel

#在 TLS 服務器上

DisableServerExtendedMasterSecret: 0

#在 TLS 客戶端上

DisableClientExtendedMasterSecret: 0