TLS ব্যর্থতার জন্য ওয়ার্কআউন্ডস, উইন্ডোজ সিস্টেমে টাইমআউট

আমরা TLS হ্যান্ডশেক সম্পর্কে কথা বলেছি , এবং কিভাবে এটি ব্যর্থ হতে পারে. আমরা আরও চিহ্নিত করেছি যে অনেকগুলি TLS ব্যর্থতা ঘটেছে কারণ মাইক্রোসফ্ট কিছু ঠিক করার চেষ্টা করেছে৷ একটি নিরাপত্তা আপডেট করা CVE-2019-1318 এর কারণে সাম্প্রতিক একটি TLS এবং SSL-এর জন্য রোল হয়েছে৷ এর ফলে TLS সংযোগগুলি মাঝে মাঝে ব্যর্থ হয় বা দীর্ঘ সময় নেয় এবং এর ফলে সময়সীমা শেষ হয়। এই পোস্টে, আমরা উইন্ডোজ সিস্টেমে TLS ব্যর্থতা এবং টাইমআউটের জন্য সমাধানগুলি ভাগ করব৷

এই চলমান সমস্যার কারণে নিম্নলিখিত ত্রুটিগুলি সাধারণ:৷

• অনুরোধ বাতিল করা হয়েছে:SSL/TLS সুরক্ষিত চ্যানেল তৈরি করা যায়নি
• ত্রুটি 0x8009030f
• অ্যালার্ট কোড 20 সহ SCHANNEL ইভেন্ট 36887-এর সিস্টেম ইভেন্ট লগ-এ একটি ত্রুটি এবং বর্ণনা, “দূরবর্তী প্রান্ত থেকে একটি মারাত্মক সতর্কতা প্রাপ্ত হয়েছে। TLS প্রোটোকল সংজ্ঞায়িত মারাত্মক সতর্কতা কোড হল 20.?"

TLS ব্যর্থতায় উইন্ডোজের কোন সংস্করণগুলি প্রভাবিত হয়?

দুর্বলতা আক্রমণকারীকে ম্যান-ইন-দ্য-মিডল আক্রমণ করার সুযোগ দিতে পারে। এটি আপডেট দ্বারা সংশোধন করা হয়েছিল, এবং এর ফলে উইন্ডোজ সিস্টেমে TLS ব্যর্থতা, টাইমআউট হয়েছে৷

মাইক্রোসফ্ট উল্লেখ করেছে যে এটি তখনই ঘটে যখন ডিভাইসগুলি এক্সটেন্ডেড মাস্টার সিক্রেট এক্সটেনশনের সমর্থন ছাড়াই ডিভাইসগুলিতে TLS সংযোগ করার চেষ্টা করে। যদি ডিভাইসগুলির সমর্থিত সংস্করণ থাকে তবে এটি ঘটবে না। এখানে এখন পর্যন্ত প্রভাবিত উইন্ডোজ সংস্করণ:

1. Windows 10 সংস্করণ 1607
2. উইন্ডোজ সার্ভার 2016
3. উইন্ডোজ 10
4. উইন্ডোজ ৮.১
5. উইন্ডোজ সার্ভার 2012 R2
6. উইন্ডোজ সার্ভার 2012
7. উইন্ডোজ 7 সার্ভিস প্যাক 1
8. উইন্ডোজ সার্ভার 2008 R2 সার্ভিস প্যাক 1
9. উইন্ডোজ সার্ভার 2008 সার্ভিস প্যাক 2

নিরাপত্তা আপডেটের কারণে উইন্ডোজ আপডেটের তালিকা প্রভাবিত হয়

যেকোনও সাম্প্রতিক ক্রমবর্ধমান আপডেট (LCU) বা মাসিক রোলআপ 8 অক্টোবর, 2019 বা তার পরে প্রকাশিত প্ল্যাটফর্মগুলির জন্য এই সমস্যাটি হতে পারে:

1. Windows 10, সংস্করণ 1903-এর জন্য KB4517389 LCU।
2. Windows 10, সংস্করণ 1809, এবং Windows Server 2019-এর জন্য KB4519338 LCU।
3. Windows 10, সংস্করণ 1803-এর জন্য KB4520008 LCU।
4. Windows 10, সংস্করণ 1709-এর জন্য KB4520004 LCU।
5. Windows 10, সংস্করণ 1703-এর জন্য KB4520010 LCU।
6. Windows 10, সংস্করণ 1607, এবং Windows Server 2016-এর জন্য KB4519998 LCU৷
7. Windows 10, সংস্করণ 1507-এর জন্য KB4520011 LCU।
8. Windows 8.1 এবং Windows Server 2012 R2 এর জন্য KB4520005 মাসিক রোলআপ।
9. Windows সার্ভার 2012 এর জন্য KB4520007 মাসিক রোলআপ।
10. Windows 7 SP1 এবং Windows Server 2008 R2 SP1-এর জন্য KB4519976 মাসিক রোলআপ।
11. Windows সার্ভার 2008 SP2 এর জন্য KB4520002 মাসিক রোলআপ
12. Windows 8.1 এবং Windows Server 2012 R2-এর জন্য KB4519990 শুধুমাত্র নিরাপত্তা আপডেট।
13. Windows সার্ভার 2012 এবং Windows এমবেডেড 8 স্ট্যান্ডার্ডের জন্য KB4519985 নিরাপত্তা-শুধুমাত্র আপডেট৷
14. Windows 7 SP1 এবং Windows Server 2008 R2 SP1-এর জন্য KB4520003 নিরাপত্তা-শুধুমাত্র আপডেট
15. KB4520009 Windows Server 2008 SP2-এর জন্য শুধুমাত্র নিরাপত্তা আপডেট

TLS ব্যর্থতার জন্য ওয়ার্কঅ্যাউন্ডস, উইন্ডোজে টাইমআউট

মাইক্রোসফটের মতে, TLS ব্যর্থতা এবং টাইমআউট ঠিক করার তিনটি উপায় রয়েছে৷

1. ক্লায়েন্ট এবং সার্ভার উভয়েই EMS সক্ষম করুন
2. TLS_DHE_* সাইফার স্যুটগুলি সরান
3. Windows 10/Windows সার্ভারে EMS সক্ষম/অক্ষম করুন

সচেতন থাকুন যে কর্মক্ষেত্রে ত্রুটি রয়েছে, বিশেষ করে নিরাপত্তার দৃষ্টিকোণ থেকে।

1] ক্লায়েন্ট এবং সার্ভার উভয়েই EMS সক্ষম করুন

আমরা জানি যে উভয় পক্ষের ইএমএস ইনস্টল থাকলে, সমস্যাটি ঘটবে না, তাই সমাধানটি সুস্পষ্ট। যদিও 8 অক্টোবর, 2019 এর পরে যেকোনও রিলিজের জন্য ডিফল্টরূপে EMS সক্ষম করা হয়েছে, যদি তা না হয় তবে নিশ্চিত করুন এক্সটেন্ড মাস্টার সিক্রেট (EMS) এক্সটেনশনের জন্য সমর্থন সক্ষম করুন৷

আপনি যদি একজন আইটি প্রশাসক হন, RFC 7627 দ্বারা সম্পূর্ণরূপে সংজ্ঞায়িত হিসাবে EMS পুনঃসূচনা সমর্থন নিশ্চিত করুন৷

2] TLS_DHE_* সাইফার স্যুটগুলি সরান

যদি অপারেটিং সিস্টেম EMS সমর্থন না করে, তাহলে IT প্রশাসককে TLS ক্লায়েন্ট ডিভাইসের OS-এ সাইফার স্যুট তালিকা থেকে TLS_DHE_* সাইফার স্যুটগুলি সরাতে হবে। শ্যানেল সাইফার স্যুটকে অগ্রাধিকার দেওয়ার জন্য সম্পূর্ণ ডকুমেন্টেশন উপলব্ধ।

তাতে বলা হয়েছে, এগুলি একটি অস্থায়ী সমাধান, এবং এগুলিকে নিষ্ক্রিয় করার মানে হল আপনি একজন ম্যান-ইন-দ্য-মিডল-আক্রমণকে আমন্ত্রণ জানাচ্ছেন

3] Windows 10/Windows সার্ভারে EMS সক্ষম/অক্ষম করুন

যদি, কোনো TLS সমস্যার জন্য, আপনি আপনার কম্পিউটারে EMS নিষ্ক্রিয় করে থাকেন, তাহলে এটি সক্ষম করতে সার্ভার এবং ক্লায়েন্ট উভয়ের রেজিস্ট্রি সেটিংস ব্যবহার করুন৷

• রেজিস্ট্রি এডিটর খুলুন
• HKLM\System\CurrentControlSet\Control\SecurityProviders\Schannel এ নেভিগেট করুন
  • TLS সার্ভারে:DisableServerExtendedMasterSecret:0
  • TLS ক্লায়েন্টে:DisableClientExtendedMasterSecret:0

যদি সেগুলি উপলব্ধ না হয়, আপনি সেগুলি তৈরি করতে পারেন৷

আমি আশা করি যে এই সমাধানগুলি অস্থায়ীভাবে TLS এর সাথে আপনি যে সমস্যাটির মুখোমুখি হচ্ছেন তা ঠিক করতে কার্যকর ছিল৷ এই সমস্যাটি সমাধান করতে যে আপডেটগুলি রোল আউট হবে সেগুলিতে নজর রাখুন