Windows 시스템의 TLS 실패, 시간 초과에 대한 해결 방법

TLS 핸드셰이크에 대해 이야기했습니다. , 그리고 어떻게 실패할 수 있습니다. 또한 Microsoft가 문제를 해결하려고 시도했기 때문에 많은 TLS 오류가 발생했음을 표시했습니다. 보안 업데이트 CVE-2019-1318로 인해 최근 TLS 및 SSL이 롤링되었습니다. 이로 인해 TLS 연결이 간헐적으로 실패하거나 시간이 오래 걸리고 시간 초과가 발생했습니다. 이 게시물에서는 Windows 시스템의 TLS 실패 및 시간 초과에 대한 해결 방법을 공유합니다.

다음 오류는 현재 진행 중인 문제로 인해 일반적입니다.

• 요청이 중단되었습니다:SSL/TLS 보안 채널을 생성할 수 없습니다.
• 오류 0x8009030f
• SCHANNEL 이벤트 36887에 대한 시스템 이벤트 로그에 경고 코드 20 및 설명과 함께 오류가 기록되었습니다. "원격 엔드포인트에서 치명적인 경고가 수신되었습니다. TLS 프로토콜 정의 치명적 경고 코드는 20입니다.?”

TLS 실패의 영향을 받는 Windows 버전은 무엇입니까?

이 취약점으로 인해 공격자는 메시지 가로채기 공격을 수행할 수 있습니다. 이것은 업데이트로 수정되었으며 Windows 시스템에서 TLS 실패, 시간 초과가 발생했습니다.

Microsoft는 장치가 Extended Master Secret 확장을 지원하지 않는 장치에 TLS 연결을 시도할 때만 발생한다고 지적했습니다. 장치에 지원되는 버전이 있으면 발생하지 않습니다. 현재 영향을 받는 Windows 버전은 다음과 같습니다.

1. Windows 10 버전 1607
2. 윈도우 서버 2016
3. 윈도우 10
4. 윈도우 8.1
5. 윈도우 서버 2012 R2
6. 윈도우 서버 2012
7. Windows 7 서비스 팩 1
8. Windows Server 2008 R2 서비스 팩 1
9. Windows Server 2008 서비스 팩 2

보안 업데이트로 인해 영향을 받는 Windows 업데이트 목록

영향을 받는 플랫폼에 대해 2019년 10월 8일 이후에 출시된 최신 누적 업데이트(LCU) 또는 월간 롤업에서 이 문제가 발생할 수 있습니다.

1. Windows 10 버전 1903용 KB4517389 LCU.
2. Windows 10, 버전 1809 및 Windows Server 2019용 KB4519338 LCU.
3. Windows 10, 버전 1803용 KB4520008 LCU.
4. Windows 10용 KB4520004 LCU, 버전 1709.
5. Windows 10 버전 1703용 KB4520010 LCU.
6. Windows 10, 버전 1607 및 Windows Server 2016용 KB4519998 LCU.
7. KB4520011 Windows 10용 LCU, 버전 1507.
8. Windows 8.1 및 Windows Server 2012 R2용 KB4520005 월간 롤업
9. KB4520007 Windows Server 2012용 월별 롤업.
10. KB4519976 Windows 7 SP1 및 Windows Server 2008 R2 SP1용 월간 롤업
11. Windows Server 2008 SP2용 KB4520002 월별 롤업
12. KB4519990 Windows 8.1 및 Windows Server 2012 R2용 보안 전용 업데이트
13. KB4519985 Windows Server 2012 및 Windows Embedded 8 Standard용 보안 전용 업데이트
14. KB4520003 Windows 7 SP1 및 Windows Server 2008 R2 SP1용 보안 전용 업데이트
15. KB4520009 Windows Server 2008 SP2용 보안 전용 업데이트

TLS 실패, Windows의 시간 초과에 대한 해결 방법

Microsoft에 따르면 TLS 실패 및 시간 초과를 수정하는 세 가지 방법이 있습니다.

1. 클라이언트와 서버 모두에서 EMS 사용
2. TLS_DHE_* 암호 그룹 제거
3. Windows 10/Windows Server에서 EMS 활성화/비활성화

해결 방법에는 특히 보안 관점에서 단점이 있다는 점에 유의하십시오.

1] 클라이언트와 서버 모두에서 EMS 활성화

양쪽에 EMS가 설치되어 있으면 문제가 발생하지 않는다는 것을 알기 때문에 해결 방법은 뻔합니다. 2019년 10월 8일 이후 릴리스에 대해 EMS가 기본적으로 활성화되어 있지만 그렇지 않은 경우 Extend Master Secret(EMS) 확장 지원을 활성화해야 합니다.

IT 관리자인 경우 RFC 7627에 정의된 대로 EMS 재개를 완전히 지원해야 합니다.

2] TLS_DHE_* 암호 제품군 제거

운영 체제가 EMS를 지원하지 않는 경우 IT 관리자는 TLS 클라이언트 장치 OS의 암호 제품군 목록에서 TLS_DHE_* 암호 제품군을 제거해야 합니다. Schannel Cipher Suite의 우선 순위 지정에 대한 전체 문서를 사용할 수 있습니다.

즉, 이는 임시 수정 사항이며 비활성화하면 중간 공격자를 초대한다는 의미일 뿐입니다.

3] Windows 10/Windows Server에서 EMS 활성화/비활성화

TLS 문제에 대해 컴퓨터에서 EMS를 비활성화한 경우 서버와 클라이언트 모두에서 레지스트리 설정을 사용하여 활성화하십시오.

• 레지스트리 편집기 열기
• HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
  로 이동합니다.
  • TLS 서버:DisableServerExtendedMasterSecret:0
  • TLS 클라이언트:DisableClientExtendedMasterSecret:0

사용할 수 없는 경우 만들 수 있습니다.

이 해결 방법이 일시적으로 TLS에 직면한 문제를 해결하는 데 유용했기를 바랍니다. 이 문제를 해결하기 위해 출시될 업데이트를 주시하세요.