Microsoft 安全咨询3109853
更新以提高 TLS 会话恢复互操作性
发布时间: 2016 年 1 月 12 日
版本: 1.0
执行摘要
Microsoft 宣布推出更新以提高基于 Schannel 的 TLS 客户端与第三方 TLS 服务器的互操作性,这些服务器支持基于RFC5077的恢复,并在缩写的 TLS 握手中发送 NewSessionTicket 消息。 此更新解决了schannel.dll中可能导致RFC5077基于会话票证的恢复失败的问题,随后导致基于 WinInet 的客户端(例如 Internet Explorer 和 Microsoft Edge)执行回退到 TLS 协议版本低于本来协商的客户端。 此改进是持续努力提高 Windows 中加密有效性的一部分。
有关更多详细信息和部署指南,请参阅 Microsoft 知识库文章3109853。
受影响的软件
| 操作系统 |
|---|
| 适用于 32 位系统的 Windows 8 |
| 基于 x64 的系统 Windows 8 |
| 适用于 32 位系统的 Windows 8.1 |
| 基于 x64 的系统版 Windows 8.1 |
| Windows Server 2012 |
| Windows Server 2012 R2 |
| Windows RT |
| Windows RT 8.1 |
| 适用于 32 位系统的 Windows 10 |
| 基于 x64 的系统版 Windows 10 |
| 适用于 32 位系统的 Windows 10 版本 1511 |
| 基于 x64 的系统版 Windows 10 版本 1511 |
| 服务器核心安装选项 |
| Windows Server 2012 (服务器核心安装) |
| Windows Server 2012 R2 (服务器核心安装) |
咨询常见问题解答
公告的范围是什么?
宣布更新的可用性,以提高基于 Schannel 的 TLS 客户端与第三方 TLS 服务器之间的互操作性,以便启用基于RFC5077的恢复,并在缩写 TLS 握手中发送 NewSessionTicket 消息。
这是安全问题吗?
否。 这是有关 Schannel 实现 RFC 5077 并导致互操作性问题的合规性问题。
更新的作用是什么?
此更新解决了schannel.dll中可能导致RFC5077基于会话票证的恢复失败的问题,随后导致基于 WinInet 的客户端(例如 Internet Explorer 和 Microsoft Edge)执行回退到 TLS 协议版本低于本来协商的客户端。
致谢
Microsoft 认识到安全社区中那些帮助我们通过协调漏洞披露来保护客户的努力。 有关详细信息,请参阅确认。
其他信息
Microsoft Active Protections 计划 (MAPP)
为了改善客户的安全保护,Microsoft 在每月安全更新发布之前向主要安全软件提供商提供漏洞信息。 然后,安全软件提供商可以使用此漏洞信息通过其安全软件或设备(如防病毒、基于网络的入侵检测系统或基于主机的入侵防护系统)为客户提供更新的保护。 若要确定安全软件提供商是否提供主动保护,请访问计划合作伙伴提供的活动保护网站,这些网站在 Microsoft Active Protections 计划 (MAPP) 合作伙伴中列出。
反馈
- 可以通过完成 Microsoft 帮助和支持表单、 客户服务联系我们来提供反馈。
支持
- 美国和加拿大的客户可以从安全支持部门获得技术支持。 有关详细信息,请参阅 Microsoft 帮助和支持。
- 国际客户可以从其本地 Microsoft 子公司获得支持。 有关详细信息,请参阅国际性支持。
- Microsoft TechNet 安全性 提供有关 Microsoft 产品安全性的其他信息。
免责声明
此公告中提供的信息“按原样”提供,没有任何担保。 Microsoft 不明确或暗示所有保证,包括适销性和针对特定用途的适用性和适用性的保证。 在任何情况下,Microsoft Corporation 或其供应商都应对任何损害负责,包括直接、间接、附带、后果性、业务利润损失或特殊损害,即使 Microsoft Corporation 或其供应商被告知存在此类损害的可能性。 某些州不允许排除或限制后果性或附带性损害的责任,因此上述限制可能不适用。
修订
- V1.0(2016 年 1 月 12 日):已发布公告。
页面生成的 2016-01-12 11:46-08:00。