O cliente e o servidor não dão suporte a um pacote de codificação ou versão de protocolo ssl comum.

Avançar para o conteúdo principal

Não há mais suporte para esse navegador.

Índice Show

Problemas de comunicação SSL/TLS depois de instalar o KB 931125
Neste artigo
Resolução
Mais informações
Como resolver o cliente e o servidor não dão suporte a um pacote de codificação ou versão de protocolo SSL comum?
Como resolver o erro de protocolo SSL?
Como resolver o erro o cliente e o servidor não são compatíveis com uma versão do protocolo SSL comum ou com o pacote de criptografia?
Como resolver problema de SSL no Google Chrome?

Atualize o Microsoft Edge para aproveitar os recursos, o suporte técnico e as atualizações de segurança mais recentes.

Problemas de comunicação SSL/TLS depois de instalar o KB 931125

Artigo
10/13/2022
5 minutos para o fim da leitura

Neste artigo

Este artigo fornece uma solução para problemas de comunicação SSL/TLS que ocorrem após a instalação do KB 931125.

Aplica-se a: Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2

Número KB original: 2801679

Sintomas

Após 11 de dezembro de 2012, aplicativos e operações dependentes de autenticações baseadas em TLS podem falhar repentinamente, embora não tenham nenhuma alteração de configuração aparente. Alguns dos aplicativos e operações que podem falhar incluem, mas não estão limitados, o seguinte:

Acesso à rede sem fio que usa autenticação baseada em certificado
Acesso à rede com fio que usa autenticação baseada em certificado
Conectividade do cliente com o Lync ou com o Office Communications Server
Caixa postal que usa Exchange Server com Unificação de Mensagens
Acesso ao site habilitado para SSL
Logons do Outlook
Atrasos de inicialização do sistema operacional (inicialização lenta)
Atrasos de logons do usuário (logon lento)

Os eventos registrados no Windows ou nos logs de eventos específicos do aplicativo e que identificam definitivamente o sintoma discutido neste artigo incluem, mas não se limitam a, eventos listados na tabela a seguir.

Log de eventos	Origem do evento	ID do Evento	Texto do evento
Sistema	Schannel	36885	Ao solicitar a autenticação do cliente, esse servidor envia uma lista de autoridades de certificação confiáveis para o cliente. O cliente usa essa lista para escolher um certificado de cliente confiável para o servidor. Atualmente, esse servidor confia em tantas autoridades de certificação que a lista cresceu muito. Portanto, essa lista foi truncada. O administrador desse computador deve examinar as autoridades de certificação confiáveis para autenticação de cliente e remover aquelas que realmente não precisam ser confiáveis.
Sistema	Schannel	36887	O seguinte alerta fatal foi recebido: 47
Sistema	NapAgent	39	O Agente de Proteção de Acesso à Rede não pôde determinar de quais HRAs solicitar um certificado de integridade. Uma alteração de rede ou se a GP estiver configurada, uma alteração de configuração solicitará mais tentativas de adquirir um certificado de integridade. Caso contrário, nenhuma outra tentativa será feita. Entre em contato com o administrador do HRA para obter mais informações.
Sistema	Remoteaccess	20225	O seguinte erro ocorreu no módulo Protocolo Ponto a Ponto na porta: VPN2-509, UserName: nome de <usuário>. A conexão foi impedida devido a uma política configurada no servidor RAS/VPN. Especificamente, o método de autenticação usado pelo servidor para verificar seu nome de usuário e senha pode não corresponder ao método de autenticação configurado em seu perfil de conexão. Entre em contato com o Administrador do servidor RAS e notifique-o sobre esse erro.
Sistema	Remoteaccess	20271	O nome de <usuário> conectado <do endereço IP> , mas falhou em uma tentativa de autenticação devido ao seguinte motivo: a conexão foi impedida devido a uma política configurada no servidor RAS/VPN. Especificamente, o método de autenticação usado pelo servidor para verificar seu nome de usuário e senha pode não corresponder ao método de autenticação configurado em seu perfil de conexão. Entre em contato com o Administrador do servidor RAS e notifique-o sobre esse erro.

Motivo

Esses problemas poderão ocorrer se você tiver atualizado suas autoridades de certificação raiz de terceiros usando o pacote de atualização de 931125 KB de dezembro de 2012. O pacote de 931125 KB que foi postado em 11 de dezembro de 2012 foi destinado apenas a SKUs de cliente. No entanto, ele também foi oferecido para SKUs de servidor por um curto período Windows Update e WSUS.

Esse pacote instalou mais de 330 Autoridades de Certificação Raiz de Terceiros. Atualmente, o tamanho máximo da lista de autoridades de certificação confiáveis compatível com o pacote de segurança Schannel é de 16 KB (quilobytes). Ter uma grande quantidade de Autoridades de Certificação Raiz de Terceiros vai passar do limite de 16 mil, e você terá problemas de comunicação TLS/SSL.

Resolução

Se você usar o WSUS e não tiver instalado a atualização de 931125 KB de dezembro de 2012, deverá sincronizar os servidores do WSUS e, em seguida, aprovar as expirações para que os servidores não instalem a atualização.

Se você instalou o pacote de atualização de 931125 KB de dezembro de 2012, deverá usar a resolução a seguir para remover autoridades de certificação raiz de terceiros adicionais em todos os servidores que agora têm uma grande quantidade de autoridades de certificação raiz de terceiros.

Observação

Essa solução remove todas as Autoridades de Certificação Raiz de Terceiros. Se o servidor tiver conectividade com Windows Update, ele adicionará automaticamente de volta autoridades de certificação raiz de terceiros, conforme necessário, conforme também discutido em KB 931125. Se um servidor afetado estiver isolado ou desconectado da Internet, você deverá adicionar manualmente as Autoridades de Certificação Raiz de Terceiros necessárias, como faria no passado. (Ou você pode instalá-los usando o Política de Grupo.)

Para corrigir esse problema, exclua a seguinte chave do Registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates

Para fazer isso, siga estas etapas:

Iniciar Editor do Registro
Localize a seguinte subchave do Registro: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SystemCertificates\AuthRoot
Clique com o botão direito do mouse e exclua a chave chamada Certificados.

Observação

Certifique-se de fazer um backup do Registro e das chaves afetadas antes de fazer alterações no sistema.

Mais informações

Esses problemas poderão ocorrer se um servidor TLS/SSL contiver muitas entradas na lista de certificação raiz confiável. O servidor envia uma lista de autoridades de certificação confiáveis para o cliente se as seguintes condições forem verdadeiras:

O servidor usa o protocolo TLS/SSL para criptografar o tráfego de rede.
Os certificados de cliente são necessários para autenticação durante o processo de handshake de autenticação.

Essa lista de autoridades de certificação confiáveis representa as autoridades das quais o servidor pode aceitar um certificado do cliente. Para ser autenticado pelo servidor, o cliente deve ter um certificado que esteja presente na cadeia de certificados para um certificado raiz da lista do servidor. Isso ocorre porque o certificado do cliente é sempre o certificado de entidade final no final da cadeia. O certificado do cliente não faz parte da cadeia.

Atualmente, o tamanho máximo da lista de autoridades de certificação confiáveis compatível com o pacote de segurança Schannel é de 16 KB no Windows Server 2008, Windows Server 2008 R2 e Windows Server 2012.

O Schannel cria a lista de autoridades de certificação confiáveis pesquisando o repositório autoridades de certificação raiz confiáveis no computador local. Todos os certificados confiáveis para fins de autenticação de cliente são adicionados à lista. Se o tamanho dessa lista exceder 16 KB, o Schannel registra a ID do evento warning 36855. Em seguida, o Schannel trunca a lista de certificados raiz confiáveis e envia essa lista truncada para o computador cliente.

Quando o computador cliente recebe a lista truncada de certificados raiz confiáveis, o computador cliente pode não ter um certificado que exista na cadeia de um emissor de certificado confiável. Por exemplo, o computador cliente pode ter um certificado que corresponde a um certificado raiz confiável que o Schannel truncado da lista de autoridades de certificação confiáveis. Portanto, o servidor não pode autenticar o cliente.

Como resolver o cliente e o servidor não dão suporte a um pacote de codificação ou versão de protocolo SSL comum?

Tente limpar o estado SSL em seu computador.

Clique no Google Chrome – Ícone de configurações (Configurações) e então clique em Configurações..

Clique em mostrar configurações avançadas..

Em Rede, clique em Alterar Configurações de Proxy. ... .

Clique na guia Conteúdo..

Clique “Limpar estado SSL” e então clique em OK..

Como resolver o erro de protocolo SSL?

Abra o navegador Chrome e acesse seu menu de configurações..

Ir para Privacidade e segurança..

Toque em Limpar dados de navegação..

Selecione os Cookies de seu navegador e os dados do site e as opções de imagens e arquivos em cache, depois toque em Limpar dados..

Como resolver o erro o cliente e o servidor não são compatíveis com uma versão do protocolo SSL comum ou com o pacote de criptografia?

Como resolver Uma dica é tentar recarregar o site usando o comando CTRL+F5 para forçar o navegador a baixar os elementos da página novamente. Se não funcionar, tente acessar uma versão não criptografada do site, mudando o protocolo HTTPS:// da URL para HTTP://.

Como resolver problema de SSL no Google Chrome?

Você verá esse erro se tiver um software antivírus que fornece "proteção de HTTPS" ou "verificação de HTTPS", que está impedindo o Chrome de fornecer segurança. Para resolver o problema, desative o software antivírus. Se a página funcionar depois da desativação do software, desative-o quando usar sites seguros.