Windows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7 Meer...Minder
Symptomen
Wanneer je probeert verbinding te maken, kunnen TLS (Transport Layer Security) en SSL (Secure Sockets Layer) mislukken of kan er een time-out optreden. Je ontvangt mogelijk ook een of meer van de volgende foutberichten:
-
'De aanvraag is afgebroken: kan geen beveiligd SSL/TLS-kanaal maken'
-
fout0x8009030f
-
Er is een fout geregistreerd in het systeemgebeurtenislogboek voor SCHANNEL-gebeurtenis 36887 met waarschuwingscode 20 en de beschrijving 'Een melding van een onherstelbare fout is ontvangen van het externe eindpunt. De door het TLS-protocol gedefinieerde meldingcode van de onherstelbare fout is 20.'
Oorzaak
Vanwege beveiligingsproblemen met betrekking totCVE-2019-1318, dwingen alle updates voor ondersteunde versies van Windows uitgebracht op 8 oktober 2019 of later Extended Master Secret (EMS) af voor hervatting, zoals gedefinieerd doorRFC 7627.Verbindingen met apparaten van derden en besturingssystemen die niet compatibel zijn, kunnen problemen ondervinden of mislukken.
Volgende stappen
Verbindingen tussen twee apparaten waarop een ondersteunde versie van Windows wordt uitgevoerd, mogen dit probleem niet hebben als ze volledig zijn bijgewerkt. Er is geen update voor Windows nodig voor dit probleem. Deze wijzigingen zijn vereist om een beveiligingsprobleem en beveiligingscompatibiliteit te verhelpen.
Elk besturingssysteem, apparaat of service van derden dat EMS-hervatting niet ondersteunt, kan problemen vertonen met betrekking tot TLS-verbindingen.Neem contact op met de beheerder, fabrikant of serviceprovider voor updates die EMS-hervatting volledig ondersteunen, zoals gedefinieerd doorRFC 7627.
Opmerking Microsoft adviseert niet om EMS uit te schakelen. Als EMS eerder expliciet was uitgeschakeld, kan het opnieuw worden ingeschakeld door de volgende registersleutelwaarden in te stellen:
HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel
Op TLS-server: DisableServerExtendedMasterSecret: 0
Op TLS-client: DisableClientExtendedMasterSecret: 0
Geavanceerde informatie voor beheerders
1. Een Windows-apparaat dat probeert een TLS-verbinding (Transport Layer Security) tot stand te brengen met een apparaat dat geen ondersteuning biedt voor Extended Master Secret (EMS) bij onderhandelingen over TLS_DHE_*-coderingssuites kan hier af en toe, bij ongeveer 1 uit 256 pogingen, niet in slagen. Als je dit probleem wilt verhelpen, implementeer je een van de volgende oplossingen in volgorde van voorkeur:
-
Schakel ondersteuning voor EMS-extensies (Extended Master Secret) in bij het uitvoeren van TLS-verbindingen op zowel het besturingssysteem van de client als de server.
-
Voor besturingssystemen die EMS niet ondersteunen, verwijder je de TLS_DHE_*-coderingssuites uit de lijst met coderingssuites in het besturingssysteem van het TLS-clientapparaat. ZieDe prioriteit van Schannel-coderingssuites bepalenvoor instructies over hoe je dit doet in Windows.
2. Besturingssystemen die alleen aanvraagberichten voor certificaten verzenden in een volledige Handshake na hervatting zijn niet compatibel met RFC 2246 (TLS 1.0)ofRFC 5246 (TLS 1.2) en zullen ervoor zorgen dat elke verbinding mislukt. Hervatting wordt niet gegarandeerd door de RFC's, maar kan worden gebruikt naar wens van de TLS-client en -server. Als dit probleem zich voordoet, moet je contact opnemen met de fabrikant of serviceprovider voor updates die voldoen aan de RFC-normen.
3. FTP-servers of clients die niet compatibel zijn met RFC 2246 (TLS 1.0)enRFC 5246 (TLS 1.2)slagen er mogelijk niet in om bestanden over te dragen bij hervatting of een verkorte Handshake en zorgen ervoor dat elke verbinding mislukt. Als dit probleem zich voordoet, moet je contact opnemen met de fabrikant of serviceprovider voor updates die voldoen aan de RFC-normen.
Betrokken updates
Alle meest recente cumulatieve updates (LCU) of maandelijkse updatepakketten die zijn uitgebracht op 8 oktober 2019 of later voor de getroffen platforms ondervinden mogelijk dit probleem:
-
KB4517389LCU voor Windows 10 versie 1903.
-
KB4519338LCU voorWindows 10 versie 1809 en Windows Server 2019.
-
KB4520008LCU voor Windows 10 versie 1803.
-
KB4520004LCU voor Windows 10 versie 1709.
-
KB4520010LCU voor Windows 10 versie 1703.
-
KB4519998LCU voorWindows 10 versie 1607 en Windows Server 2016.
-
KB4520011LCU voor Windows 10 versie 1507.
-
KB4520005Maandelijks updatepakket voor Windows 8.1 en Windows Server 2012 R2.
-
KB4520007Maandelijks updatepakket voor Windows Server 2012.
-
KB4519976Maandelijks updatepakket voor Windows 7 SP1 en Windows Server 2008 R2 SP1.
-
KB4520002Maandelijks updatepakket voor Windows Server 2008 SP2
De volgende beveiligingsupdates die zijn uitgebracht op 8 oktober 2019 voor de getroffen platforms ondervinden mogelijk dit probleem:
-
KB4519990Beveiligingsupdate voor Windows 8.1 en Windows Server 2012 R2.
-
KB4519985Beveiligingsupdate voor Windows Server 2012 en Windows Embedded 8 Standard.
-
KB4520003Beveiligingsupdate voor Windows 7 SP1 en Windows Server 2008 R2 SP1
-
KB4520009Beveiligingsupdate voorWindows Server 2008 SP2
RSS-FEEDS ABONNEREN
Meer hulp nodig?
Meer opties?
Ontdekken Community
Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.
Voordelen van Microsoft 365-abonnementen
Microsoft 365-training
Microsoft-beveiliging
Toegankelijkheidscentrum
Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.
Stel een vraag aan de Microsoft-Community
Microsoft Tech Community
