TLS-verbindingen (Transport Layer Security) kunnen mislukken of er kan een time-out optreden bij het verbinden of bij een poging te hervatten (2024)

Table of Contents

Symptomen Oorzaak Volgende stappen Geavanceerde informatie voor beheerders Betrokken updates Meer hulp nodig? Meer opties? FAQs References

Windows 10, version 1903, all editions Windows 10, version 1809, all editions Windows Server 2019, all editions Windows 10, version 1803, all editions Windows 10, version 1709, all editions Windows 10, version 1703, all editions Windows 10, version 1607, all editions Windows Server 2016, all editions Windows 10 Windows 8.1 Windows Server 2012 R2 Windows Server 2012 Windows 7 Service Pack 1 Windows Server 2008 R2 Windows Server 2008 Service Pack 2 Windows Embedded 8 Standard Windows Embedded Standard 7 Service Pack 1 Windows Embedded POSReady 7 Meer...Minder

Symptomen

Wanneer je probeert verbinding te maken, kunnen TLS (Transport Layer Security) en SSL (Secure Sockets Layer) mislukken of kan er een time-out optreden. Je ontvangt mogelijk ook een of meer van de volgende foutberichten:

'De aanvraag is afgebroken: kan geen beveiligd SSL/TLS-kanaal maken'
fout0x8009030f
Er is een fout geregistreerd in het systeemgebeurtenislogboek voor SCHANNEL-gebeurtenis 36887 met waarschuwingscode 20 en de beschrijving 'Een melding van een onherstelbare fout is ontvangen van het externe eindpunt. De door het TLS-protocol gedefinieerde meldingcode van de onherstelbare fout is 20.'

Oorzaak

Vanwege beveiligingsproblemen met betrekking totCVE-2019-1318, dwingen alle updates voor ondersteunde versies van Windows uitgebracht op 8 oktober 2019 of later Extended Master Secret (EMS) af voor hervatting, zoals gedefinieerd doorRFC 7627.Verbindingen met apparaten van derden en besturingssystemen die niet compatibel zijn, kunnen problemen ondervinden of mislukken.

Volgende stappen

Verbindingen tussen twee apparaten waarop een ondersteunde versie van Windows wordt uitgevoerd, mogen dit probleem niet hebben als ze volledig zijn bijgewerkt. Er is geen update voor Windows nodig voor dit probleem. Deze wijzigingen zijn vereist om een beveiligingsprobleem en beveiligingscompatibiliteit te verhelpen.

Elk besturingssysteem, apparaat of service van derden dat EMS-hervatting niet ondersteunt, kan problemen vertonen met betrekking tot TLS-verbindingen.Neem contact op met de beheerder, fabrikant of serviceprovider voor updates die EMS-hervatting volledig ondersteunen, zoals gedefinieerd doorRFC 7627.

Opmerking Microsoft adviseert niet om EMS uit te schakelen. Als EMS eerder expliciet was uitgeschakeld, kan het opnieuw worden ingeschakeld door de volgende registersleutelwaarden in te stellen:

HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel

Op TLS-server: DisableServerExtendedMasterSecret: 0
Op TLS-client: DisableClientExtendedMasterSecret: 0

Geavanceerde informatie voor beheerders

1. Een Windows-apparaat dat probeert een TLS-verbinding (Transport Layer Security) tot stand te brengen met een apparaat dat geen ondersteuning biedt voor Extended Master Secret (EMS) bij onderhandelingen over TLS_DHE_*-coderingssuites kan hier af en toe, bij ongeveer 1 uit 256 pogingen, niet in slagen. Als je dit probleem wilt verhelpen, implementeer je een van de volgende oplossingen in volgorde van voorkeur:

Schakel ondersteuning voor EMS-extensies (Extended Master Secret) in bij het uitvoeren van TLS-verbindingen op zowel het besturingssysteem van de client als de server.

Voor besturingssystemen die EMS niet ondersteunen, verwijder je de TLS_DHE_*-coderingssuites uit de lijst met coderingssuites in het besturingssysteem van het TLS-clientapparaat. ZieDe prioriteit van Schannel-coderingssuites bepalenvoor instructies over hoe je dit doet in Windows.

2. Besturingssystemen die alleen aanvraagberichten voor certificaten verzenden in een volledige Handshake na hervatting zijn niet compatibel met RFC 2246 (TLS 1.0)ofRFC 5246 (TLS 1.2) en zullen ervoor zorgen dat elke verbinding mislukt. Hervatting wordt niet gegarandeerd door de RFC's, maar kan worden gebruikt naar wens van de TLS-client en -server. Als dit probleem zich voordoet, moet je contact opnemen met de fabrikant of serviceprovider voor updates die voldoen aan de RFC-normen.

3. FTP-servers of clients die niet compatibel zijn met RFC 2246 (TLS 1.0)enRFC 5246 (TLS 1.2)slagen er mogelijk niet in om bestanden over te dragen bij hervatting of een verkorte Handshake en zorgen ervoor dat elke verbinding mislukt. Als dit probleem zich voordoet, moet je contact opnemen met de fabrikant of serviceprovider voor updates die voldoen aan de RFC-normen.

Betrokken updates

Alle meest recente cumulatieve updates (LCU) of maandelijkse updatepakketten die zijn uitgebracht op 8 oktober 2019 of later voor de getroffen platforms ondervinden mogelijk dit probleem:

KB4517389LCU voor Windows 10 versie 1903.
KB4519338LCU voorWindows 10 versie 1809 en Windows Server 2019.
KB4520008LCU voor Windows 10 versie 1803.
KB4520004LCU voor Windows 10 versie 1709.
KB4520010LCU voor Windows 10 versie 1703.
KB4519998LCU voorWindows 10 versie 1607 en Windows Server 2016.
KB4520011LCU voor Windows 10 versie 1507.
KB4520005Maandelijks updatepakket voor Windows 8.1 en Windows Server 2012 R2.
KB4520007Maandelijks updatepakket voor Windows Server 2012.
KB4519976Maandelijks updatepakket voor Windows 7 SP1 en Windows Server 2008 R2 SP1.
KB4520002Maandelijks updatepakket voor Windows Server 2008 SP2

De volgende beveiligingsupdates die zijn uitgebracht op 8 oktober 2019 voor de getroffen platforms ondervinden mogelijk dit probleem:

KB4519990Beveiligingsupdate voor Windows 8.1 en Windows Server 2012 R2.
KB4519985Beveiligingsupdate voor Windows Server 2012 en Windows Embedded 8 Standard.
KB4520003Beveiligingsupdate voor Windows 7 SP1 en Windows Server 2008 R2 SP1
KB4520009Beveiligingsupdate voorWindows Server 2008 SP2

RSS-FEEDS ABONNEREN

Meer hulp nodig?

Meer opties?

Ontdekken Community

Verken abonnementsvoordelen, blader door trainingscursussen, leer hoe u uw apparaat kunt beveiligen en meer.

Voordelen van Microsoft 365-abonnementen

Microsoft 365-training

Microsoft-beveiliging

Toegankelijkheidscentrum

Community's helpen u vragen te stellen en te beantwoorden, feedback te geven en te leren van experts met uitgebreide kennis.

Stel een vraag aan de Microsoft-Community

Microsoft Tech Community

Windows Insiders

Microsoft 365 Insiders

FAQs

What is TLS transport layer security and how does it protect data? ›

Transport Layer Security (TLS) encrypts data sent over the Internet to ensure that eavesdroppers and hackers are unable to see what you transmit which is particularly useful for private and sensitive information such as passwords, credit card numbers, and personal correspondence.

Get More Info ›

At which OSI layer does the TLS handshake occur? ›

Because TLS operates at Layers 4 through 7 of the OSI model, as opposed to Layer 3, which is the case with IPsec, each application and each communication flow between client and server must establish its own TLS session to gain authentication and data encryption benefits.

Get More Info ›

How do I enable Transport Layer Security TLS in Chrome? ›

Chrome

Click the wrench icon.
Choose Setting.
Show advanced setting.
Click Change proxy settings.
Select the "Advanced" Tab.
Scroll down and check TLS 1.0.
Close and restart all open browsers.

View Details ›

Does TLS operate at the transport layer or the application layer? ›

The TLS (and SSL) protocols are located between the application protocol layer and the TCP/IP layer, where they can secure and send application data to the transport layer. Because the protocols work between the application layer and the transport layer, TLS and SSL can support multiple application layer protocols.

Learn More ›

What are the requirements for TLS? ›

For a website or application to use TLS, it must have a TLS certificate installed on its origin server (the certificate is also known as an "SSL certificate" because of the naming confusion described above). A TLS certificate is issued by a certificate authority to the person or business that owns a domain.

Where is the TLS connection terminated? ›

The load balancer removes the encryption before passing the messages to your servers. SSL/TLS termination is also called "SSL/TLS offloading." Ideally, this happens at the load balancer to avoid burdening backend servers with negotiating TLS session keys—a process which is fairly CPU intensive.

View Details ›

Does TLS happen after TCP handshake? ›

A TLS handshake also happens whenever any other communications use HTTPS, including API calls and DNS over HTTPS queries. TLS handshakes occur after a TCP connection has been opened via a TCP handshake.

Find Out More ›

What is TLS handshake timeout? ›

What is a TLS handshake timeout? This TLS error occurs when the handshake process takes longer than the predetermined duration. The connection attempt is considered unsuccessful and the handshake is aborted.

Discover More Details ›

What is the TLS authentication process? ›

TLS authentication requires one or both parties to prove their identity using TLS certificates. These digital certificates, issued by trusted Certificate Authorities (CAs), are akin to digital passports, assuring that the entity you're communicating with is indeed who they claim to be.

Discover More ›

How to check if TLS is enabled? ›

-Press the Windows key + R to start Run, type regedit, and press Enter or click OK. -If you can't find any of the keys or if their values are not correct, then TLS 1.2 is not enabled.

Read The Full Story ›

How do I access TLS Security settings? ›

The fix is easy: In the windows search box, near the Windows Start button, type Internet Options. Open the result Internet options - control panel. Then click the Advanced tab. Scroll down in the long list to security and make sure use TLS 1.2 is checked.

Tell Me More ›

How do I turn on transport layer security? ›

Internet Explorer, Google Chrome

Open the Internet Options from the Windows Control Panel or press "Windows key + R" to open the "Run" prompt and type in "inetcpl. cpl" then press Enter.
Select the "Advanced" tab.
Scroll down to the "Security" section.
Locate and check "Use TLS 1.2".
Click the "OK" button.