【アプデ7/8.1/10】 特定の状況下でTLS / SSL接続に失敗・タイムアウトする場合がある [Update 2: Windows10用更新プログラムも対象に追加]

Windows,WindowsUpdate

2019年10月9日以降のWindowsUpdateを適用後、特定の状況下でTLS / SSL接続が断続的に失敗またはタイムアウトする問題が発生しています。Microsoftによると、2019年10月9日以降にリリースされた更新プログラムに含まれているCVE-2019-1318(TLS関連の脆弱性)のセキュリティ対策によりこの問題が発生しているとのこと。

詳細な発生条件および対象となる2019年10月9日リリースの更新プログラムと該当OSは以下になります。

【発生条件】

<原文>
Due to security related enforcement for CVE-2019-1318, a Windows device attempting a Transport Layer Security (TLS) to a device that does not support Extended Master Secret (EMS) when TLS_DHE_* cipher suites are negotiated might have this issue.


<翻訳>
TLS_DHE_*暗号スイートをネゴシエートするときに、Extended Master Secret(EMS)をサポートしていないデバイスに対してTransport Layer Security(TLS)を試行するWindowsデバイスでこの問題が発生する場合があります。

【問題が発生する2019年10月9日リリースの更新プログラムと該当OS】

KB4519976 マンスリー品質ロールアップ Windows7 SP1 / Windows Server 2008 R2 SP1
KB4520005 マンスリー品質ロールアップ Windows8.1 / Windows Server 2012 R2
KB4519990 セキュリティのみの品質更新プログラム Windows8.1 / Windows Server 2012 R2
KB4520003 セキュリティのみの品質更新プログラム Windows7 SP1 / Windows Server 2008 R2 SP1

KB4520002 マンスリー品質ロールアップ Windows Server 2008 SP2
KB4520007 マンスリー品質ロールアップ Windows Server 2012
KB4519985 セキュリティのみの品質更新プログラム Windows Server 2012 / Windows Embedded 8 Standard
KB4520009 セキュリティのみの品質更新プログラム Windows Server 2008 SP2

< Update 2: Windows10用更新プログラムも対象に追加 [2019/11/12更新]
KB4520011 Windows10 v1507
KB4519998 Windows10 v1607 / Windows Server 2016
KB4520010 Windows10 v1703
KB4520008 Windows10 v1803
KB4519338 Windows10 v1809 / Windows Server 2019
KB4517389 Windows10 v1903
(※Windows7 / 8.1のロールアップおよびWindows10系は累積されるため、上記以降のKBも対象)

< Update 1: 修正はなさげ [2019/11/11更新]
この問題が公開された直後は各KBページの『既知の不具合』には掲載されておらず、不具合なのか、それともセキュリティ対策に伴う仕様変更なのか、そして修正予定はあるのかは不明でした。

その後、2019年10月9日配信の『ロールアップ』および『セキュリティのみ』にこの問題が『既知の不具合』に掲載されました。しかし、Microsoftから修正予定のアナウンスはなく、緩和策のページを案内するに留まっています。

また、2019年10月16日配信の『ロールアップのプレビュー』にはこの問題は『既知の不具合』に掲載されておらず、修正したとの案内もありません。つまるところ、Microsoftはこの問題の修正は行わず、セキュリティ対策に伴った仕様変更という認識のようです。

更新履歴
① 修正はなさげな旨を掲載。
② この問題、当初はWindows7 / 8.1とそのSerever系、および、Windows10のServer系のみが対象とされていましたが、一般向けのWindows10も対象に加わりました。