Win10最新更新导致TLS无法正常连接怎么办？

微软在Windows 10仪表盘日志中确认最新累积更新可能导致某些不支持扩展主密钥的客户端出现安全连接超时。这个问题实际上是微软修复CVE-2019-1318安全漏洞导致的，攻击者利用这个漏洞可发起中间人攻击窃取数据。严格来说这个问题并不是独立产生的，而是在微软修复漏洞后可能存在兼容性问题，导致系统无法正常安全连接。

TLS连接失败或连接超时：

微软表示如果连接双方都已经安装安全更新修复该安全漏洞，则不太可能会出现这个加密安全连接的兼容性故障。问题在于Windows如果尝试连接到不支持扩展主密钥恢复的TLS客户端或者服务器 , 那么就会无法正常进行连接。用户若尝试连接则系统会提示「请求已中止 : 无法创建爱你SSL/TLS 安全通道」错误然后导致整个连接自动终止。而在Windows系统事件查看器里会记录已从远程端点收到致命警报, TLS安全协议定义的致命警告错误代码为20。

#RFC 7627

The request was aborted: Could not create SSL/TLS secure Channel

SCHANNEL event 36887 is logged in the System event log with the description, "A fatal alert was received from the remote endpoint. The TLS protocol defined fatal alert code is 20."

影响所有受支持的Windows版本：

由于漏洞缘故微软发布的更新是面向所有受支持的 Windows 版本，而这些已安装更新的系统都可能遇到此问题。包括 Windows 7 SP1、Windows 8.1 Update、Windows 10 所有受支持的版本、Windows 10 LTS 所有版本。同时Windows Server 2008 R2 SP1/SP2、Windows Server 2012/2012R2、Windows Server 2019亦受影响。

解决办法倒是非常简单：

针对该问题最直接的解决办法就是直接安装最新的累积更新，只要安装后就可以直接解决该问题无需额外的操作。在安装最新累积更新后微软会为系统自动启动扩展主密钥支持，更新的设备或服务器之间互相连接都会正常通信。而对不支持扩展主密钥支持的操作系统需要管理员手动从TLS客户端加密套件中删除TLS_DHE_*，帮助文档点我。需要强调的是微软不建议禁用扩展主密钥，如果用户此前手动禁用过扩展主密钥请通过以下注册表进行恢复启用。

#注册表路径

HEKY_LOCAL_MACHINESystemCurrentControlSetControlSecurityProvidersSchannel

#在 TLS 服务器上

DisableServerExtendedMasterSecret: 0

#在 TLS 客户端上

DisableClientExtendedMasterSecret: 0