{"id":224446,"date":"2019-10-30T12:46:35","date_gmt":"2019-10-30T11:46:35","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=224446"},"modified":"2021-12-01T23:08:45","modified_gmt":"2021-12-01T22:08:45","slug":"windows-timeout-bei-tls-verbindungen-workaround","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2019\/10\/30\/windows-timeout-bei-tls-verbindungen-workaround\/","title":{"rendered":"Windows: Timeout bei TLS-Verbindungen, Workaround"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2013\/03\/winb.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2019\/10\/31\/windows-timeout-with-tls-connections-workaround\/\" target=\"_blank\" rel=\"noopener noreferrer\">English<\/a>]Bei Windows 7, Windows 8.1 und diversen Server Versionen kann es durch eines der letzten Updates zu Timeouts bei TLS-Verbindungen kommen. Dann gibt es diverse Fehlermeldungen wie Fehlercode 0x8009030f (SEC_E_MESSAGE_ALTERED) oder ein SCHANNEL Event 36887 mit dem Code 20 in der Ereignisanzeige.<\/p>\n<p><!--more--><\/p>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg07.met.vgwort.de\/na\/5b0be71d8aad4a5c97de41ffd4b0c525\" alt=\"\" width=\"1\" height=\"1\" \/>Microsoft hat zu diesem Problem am 30. Oktober 2019 einen entsprechenden Supportbeitrag <a href=\"https:\/\/support.microsoft.com\/help\/4528489\/\" target=\"_blank\" rel=\"noopener noreferrer\">4528489<\/a> (Transport Layer Security (TLS) connections might intermittently fail or timeout when connecting) ver\u00f6ffentlicht.<\/p>\n<h2>Das Fehlerbild<\/h2>\n<p>Beim Versuch, eine Verbindung [mit einem Server] herzustellen, k\u00f6nnen Transport Layer Security (TLS) und Secure Sockets Layer (SSL) zeitweise ausfallen oder auf einen Timeout laufen. Dann werden ein oder mehrere der folgenden Fehler angezeigt:<\/p>\n<ul>\n<li>\"Die Anfrage wurde abgebrochen: SSL\/TLS Secure Channel konnte nicht erstellt werden\"<\/li>\n<li>Fehlercode 0x800903030f\u00a0 (SEC_E_MESSAGE_ALTERED)<\/li>\n<li>Im Systemereignisprotokoll wird f\u00fcr das SCHANNEL-Ereignis 36887 ein Fehler mit dem Alarmcode 20 und der Beschreibung \"A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 20.\u200b\" eingetragen.<\/li>\n<\/ul>\n<p>Die Ursache ist darin begr\u00fcndet, dass Microsoft im Augst 2019 die Schwachstelle <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2019-1318\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2019-1318<\/a> per Update geschlossen hat. Genau dieser Fix scheint nach Installation der Oktober 2019-Updates jetzt die TLS-Timeouts zu verursachen.<\/p>\n<h2>Welche Windows-Versionen sind betroffen<\/h2>\n<p>Dummerweise wurde der Fix durch verschiedene Updates an Windows 7, Windows 8.1 und diverse Windows Server-Versionen, die noch im Support sind, verteilt. Betroffen sind folgende Windows-Versionen, die kumulative Updates und Rollups zum 8. Oktober 2019 (oder sp\u00e4ter) erhalten haben:<\/p>\n<ul>\n<li><a href=\"https:\/\/support.microsoft.com\/de-de\/help\/4519998\" target=\"_blank\" rel=\"noopener noreferrer\">KB4519998<\/a> LCU for Windows Server, version 1607 and Windows Server 2016.<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/de-de\/help\/4520005\" target=\"_blank\" rel=\"noopener noreferrer\">KB4520005<\/a> Monthly Rollup for Windows 8.1 and Windows Server 2012 R2.<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/de-de\/help\/4520007\" target=\"_blank\" rel=\"noopener noreferrer\">KB4520007<\/a> Monthly Rollup for Windows Server 2012.<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/de-de\/help\/4519976\" target=\"_blank\" rel=\"noopener noreferrer\">KB4519976<\/a> Monthly Rollup for Windows 7 SP1 and Windows Server 2008 R2 SP1.<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/de-de\/help\/4520002\" target=\"_blank\" rel=\"noopener noreferrer\">KB4520002<\/a> Monthly Rollup for Windows Server 2008 SP2<\/li>\n<\/ul>\n<p>Zudem sind auch Systeme betroffen, die folgende Security-only Updates vom 8. Oktober 2019 erhalten haben.<\/p>\n<ul>\n<li><a href=\"https:\/\/support.microsoft.com\/de-de\/help\/4519990\" target=\"_blank\" rel=\"noopener noreferrer\">KB4519990<\/a> Security-only update for Windows 8.1 and Windows Server 2012 R2.<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/de-de\/help\/4519985\" target=\"_blank\" rel=\"noopener noreferrer\">KB4519985<\/a> Security-only update for Windows Server 2012 and Windows Embedded 8 Standard.<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/de-de\/help\/4520003\" target=\"_blank\" rel=\"noopener noreferrer\">KB4520003<\/a> Security-only update for Windows 7 SP1 and Windows Server 2008 R2 SP1<\/li>\n<li><a href=\"https:\/\/support.microsoft.com\/de-de\/help\/4520009\" target=\"_blank\" rel=\"noopener noreferrer\">KB4520009<\/a> Security-only update for Windows Server 2008 SP2<\/li>\n<\/ul>\n<p>Wer also diese Updates auf den Maschinen installiert hat und TLS-Fehler erh\u00e4lt, sollte reagieren und folgenden Workaround versuchen.<\/p>\n<h2>Ein Workaround f\u00fcr das TLS-Problem<\/h2>\n<p>Microsoft gibt im Supportbeitrag zwei Workaround an, mit dem sich das TLS-Timeout-Problem eventuell abschw\u00e4chen l\u00e4sst.<\/p>\n<ul>\n<li>Aktivieren Sie die Unterst\u00fctzung f\u00fcr Extend Master Secret (EMS) Erweiterungen, wenn TLS-Verbindungen sowohl auf dem Client als auch auf dem Server-Betriebssystem durchgef\u00fchrt werden. EMS gem\u00e4\u00df <a href=\"https:\/\/tools.ietf.org\/html\/rfc7627\" target=\"_blank\" rel=\"noopener noreferrer\">RFC 7627<\/a> wurde 2015 zu den unterst\u00fctzten Versionen von Windows hinzugef\u00fcgt.\u00a0 Jedes Update, das am oder nach dem 8. Oktober 2019 ver\u00f6ffentlicht wird, hat EMS standardm\u00e4\u00dfig f\u00fcr <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/en-US\/vulnerability\/CVE-2019-1318\" target=\"_blank\" rel=\"noopener noreferrer\">CVE-2019-1318<\/a> aktiviert.<\/li>\n<li>Oder: F\u00fcr Betriebssysteme, die kein EMS unterst\u00fctzen, entfernen Sie die TLS_DHE_*-Cipher Suites aus der Liste der Chiffriersammlungen im Betriebssystem des TLS-Clients. Anweisungen dazu, wie Sie dies unter Windows tun, finden Sie unter <a href=\"https:\/\/docs.microsoft.com\/windows\/win32\/secauthn\/prioritizing-schannel-cipher-suites\" target=\"_blank\" rel=\"noopener noreferrer\">Prioritizing Schannel Cipher Suites<\/a>.<\/li>\n<\/ul>\n<p>Microsoft empfiehlt nicht, EMS zu deaktivieren. Wenn EMS explizit durch Administratoren deaktiviert wurde, kann es wieder aktiviert werden, indem man folgende Registrierungseintr\u00e4ge setzt. Im Schl\u00fcssel:<\/p>\n<p>HKLM\\System\\CurrentControlSet\\Control\\SecurityProviders\\Schannel<\/p>\n<p>sind auf dem TLS-Server und \u2013Client die folgenden Werte auf 0 zu setzen:<\/p>\n<p>On TLS Server: <em>DisableServerExtendedMasterSecret<\/em>: 0<br \/>\nOn TLS Client: <em>DisableClientExtendedMasterSecret<\/em>: 0<\/p>\n<p>Damit sollten die TLS-Verbindungsprobleme weg sein. (<a href=\"https:\/\/www.deskmodder.de\/blog\/2019\/10\/30\/tls-timeout-problem-unter-windows-7-8-1-sowie-windows-10-und-server-2016-1607-inklusive-workaround\/\" target=\"_blank\" rel=\"noopener noreferrer\">via<\/a>)<\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Bei Windows 7, Windows 8.1 und diversen Server Versionen kann es durch eines der letzten Updates zu Timeouts bei TLS-Verbindungen kommen. Dann gibt es diverse Fehlermeldungen wie Fehlercode 0x8009030f (SEC_E_MESSAGE_ALTERED) oder ein SCHANNEL Event 36887 mit dem Code 20 in &hellip; <a href=\"https:\/\/borncity.com\/blog\/2019\/10\/30\/windows-timeout-bei-tls-verbindungen-workaround\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[11,185,2557],"tags":[24,4315,7800,3288],"class_list":["post-224446","post","type-post","status-publish","format-standard","hentry","category-problemlosung","category-update","category-windows-server","tag-problem","tag-update","tag-verbindung","tag-windows-en"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224446","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=224446"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/224446\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=224446"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=224446"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=224446"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}