Problemi di comunicazione SSL/TLS dopo l'installazione di KB 931125

In questo articolo viene fornita una soluzione ai problemi di comunicazione SSL/TLS che si verificano dopo l'installazione di KB 931125.

Versione originale del prodotto:   Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2
Numero KB originale:   2801679

Sintomi

Dopo l'11 dicembre 2012, le applicazioni e le operazioni che dipendono dalle autenticazioni basate su TLS hanno esito negativo, anche se non sono state apportate modifiche alla configurazione. Alcune delle applicazioni e delle operazioni che potrebbero non riuscire includono, ma non sono limitate, le seguenti:

  • Accesso alla rete wireless che utilizza l'autenticazione basata su certificato
  • Accesso alla rete cablata che utilizza l'autenticazione basata su certificato
  • Connettività client a Lync o a Office Communications Server
  • Segreteria telefonica che utilizza Exchange Server insieme alla messaggistica unificata
  • Accesso al sito Web abilitato per SSL
  • Accessi di Outlook
  • Ritardi del boot del sistema operativo (avvio lento)
  • Ritardi degli accessi degli utenti (accesso lento)

Gli eventi che vengono registrati in Windows o nei registri eventi specifici dell'applicazione e che identificano definitivamente il sintomo descritto in questo articolo includono, ma non sono limitati a, gli eventi elencati nella tabella seguente.

Registro eventi Origine evento ID evento Testo dell'evento
Sistema Schannel 36885 Quando si richiede l'autenticazione client, questo server invia un elenco di autorità di certificazione attendibili al client. Il client utilizza questo elenco per scegliere un certificato client considerato attendibile dal server. Attualmente, questo server considera attendibili le numerose autorità di certificazione che l'elenco è cresciuto troppo a lungo. Questo elenco è stato quindi troncato. L'amministratore di questo computer deve esaminare le autorità di certificazione attendibili per l'autenticazione del client e rimuovere quelle che non devono essere attendibili.
Sistema Schannel 36887 È stato ricevuto il seguente avviso fatale: 47
Sistema NapAgent 39 L'agente di protezione dall'accesso di rete non è stato in grado di determinare quale HRA richiedere un certificato di integrità. Una modifica di rete o se GP è configurato, una modifica di configurazione richiederà ulteriori tentativi di acquisizione di un certificato di integrità. In caso contrario, non verranno effettuati ulteriori tentativi. Per ulteriori informazioni, rivolgersi all'amministratore dell'Autorità registrazione integrità.
Sistema RemoteAccess 20225 Si è verificato l'errore seguente nel modulo protocollo Point to Point sulla porta:
VPN2-509, nomeutente: <username> . La connessione è stata impedita a causa di un criterio configurato nel server RAS/VPN. In particolare, il metodo di autenticazione utilizzato dal server per verificare il nome utente e la password potrebbero non corrispondere al metodo di autenticazione configurato nel profilo di connessione. Contattare l'amministratore del server RAS e notificargli questo errore.
Sistema RemoteAccess 20271 L'utente ha <username> eseguito la connessione da <IP address> un tentativo di autenticazione non riuscito a causa del motivo seguente:
La connessione è stata impedita a causa di un criterio configurato nel server RAS/VPN. In particolare, il metodo di autenticazione utilizzato dal server per verificare il nome utente e la password potrebbero non corrispondere al metodo di autenticazione configurato nel profilo di connessione. Contattare l'amministratore del server RAS e notificargli questo errore.

Causa

Questi problemi possono verificarsi se sono state aggiornate le autorità di certificazione radice di terze parti utilizzando il pacchetto di aggiornamento di dicembre 2012 KB 931125. Il pacchetto KB 931125 pubblicato nell'11 dicembre 2012 è stato progettato solo per SKU client. Tuttavia, è stato offerto anche per gli SKU dei server per un breve periodo di tempo su Windows Update e WSUS.

Questo pacchetto ha installato più di 330 autorità di certificazione radice di terze parti. Attualmente, le dimensioni massime dell'elenco delle autorità di certificazione attendibili supportate dal pacchetto di sicurezza Schannel sono 16 kilobyte (KB). L'utilizzo di una grande quantità di autorità di certificazione radice di terze parti passerà al limite 16.000 e si verificherà un problema di comunicazione TLS/SSL.

Risoluzione

Se si utilizza WSUS e non è stato installato l'aggiornamento 2012 KB 931125 di dicembre, è necessario sincronizzare i server WSUS e quindi approvare le scadenze in modo che i server non installino l'aggiornamento.

Se è stato installato il pacchetto di aggiornamento di dicembre 2012 KB 931125, è consigliabile utilizzare la risoluzione seguente per rimuovere le autorità di certificazione radice di terze parti aggiuntive su tutti i server che dispongono di una grande quantità di autorità di certificazione radice di terze parti.

Nota

Questa soluzione rimuove tutte le autorità di certificazione radice di terze parti. Se il server dispone di connettività a Windows Update, aggiungerà automaticamente le autorità di certificazione radice di terze parti in base alle esigenze, come descritto anche in KB 931125. Se un server interessato è isolato o disconnesso da Internet, è necessario aggiungere manualmente le autorità di certificazione radice di terze parti necessarie come si sarebbe fatto in passato. In alternativa, è possibile installarli utilizzando criteri di gruppo.

Per risolvere il problema, eliminare la seguente chiave del registro di sistema:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

A tal fine, attenersi alla seguente procedura:

  1. Avviare l'editor del registro di sistema
  2. Individuare la seguente sottochiave del registro di sistema: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
  3. Fare clic con il pulsante destro del mouse e quindi eliminare la chiave denominata Certificates.

Nota

Assicurarsi di eseguire una copia di backup del registro di sistema e delle chiavi modificate prima di apportare le modifiche apportate all'ambiente.

Altre informazioni

Questi problemi possono verificarsi se un server TLS/SSL contiene numerose voci nell'elenco dei certificati radice attendibili. Il server invia un elenco di autorità di certificazione attendibili al client se sono soddisfatte le condizioni seguenti:

  • Il server utilizza il protocollo/SSL TLS (Transport Layer Security) per crittografare il traffico di rete.
  • I certificati client sono necessari per l'autenticazione durante il processo di handshake di autenticazione.

Questo elenco di autorità di certificazione attendibili rappresenta le autorità da cui il server può accettare un certificato client. Per essere autenticati dal server, il client deve disporre di un certificato presente nella catena di certificati a un certificato radice dall'elenco del server. Ciò è dovuto al fatto che il certificato client è sempre il certificato di entità finale alla fine della catena. Il certificato client non è incluso nella catena.

Attualmente, la dimensione massima dell'elenco delle autorità di certificazione attendibili supportato dal pacchetto di sicurezza Schannel è 16 KB in Windows Server 2008, Windows Server 2008 R2 e Windows Server 2012.

SChannel consente di creare l'elenco delle autorità di certificazione attendibili eseguendo una ricerca nell'archivio di certificati radice attendibili nel computer locale. Tutti i certificati considerati attendibili per l'autenticazione client vengono aggiunti all'elenco. Se le dimensioni di questo elenco sono superiori a 16 KB, viene visualizzato l'evento Warning log ID 36855. In questo modo, Schannel tronca l'elenco dei certificati radice attendibili e invia questo elenco troncato al computer client.

Quando il computer client riceve l'elenco troncato di certificati radice attendibili, il computer client potrebbe non disporre di un certificato presente nella catena di un emittente di certificati attendibili. Ad esempio, il computer client può disporre di un certificato che corrisponde a un certificato radice attendibile che Schannel tronca dall'elenco delle autorità di certificazione attendibili. Pertanto, il server non è in grado di autenticare il client.