API tools faq
paste
Guest User

gp5-High

a guest
Oct 19th, 2025
20
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
text 9.24 KB | None | 0 0
raw download clone embed print report
  1. Pošto se greške javljaju tek otkako si na Yettel optici, treba paralelno proveriti dve stvari:
  2.  
  3. da li je problem ipak u Windows TLS/Schannel podešavanjima (često je to uzrok za Event 36871 “A fatal error occurred while creating a TLS client credential”), i
  4. da li nova mreža (ruter/ISP) pravi probleme: IPv6, MTU, proxy/WPAD, DNS ili “bezbednosne” opcije na ruteru.
  5. Ispod je detaljan, praktičan plan po koracima. Radi redom; na kraju ćeš vrlo verovatno “uhvatiti” uzrok.
  6.  
  7. Izoluj: da li je problem OS ili mreža (brz test)
  8. Test preko mobilnog hotspot-a:
  9.  
  10. Poveži računar na mobilni hotspot (4G/5G) i pokreni neku od aplikacija koje bacaju TLS grešku (npr. System Settings ili Nahimic).
  11. Istovremeno otvori Event Viewer → Windows Logs → System → Filter → Event sources: Schannel i pogledaj da li iskače Event ID 36871.
  12. Ako se na hotspotu greška NE javlja → velika verovatnoća da je Yettel/ruter (IPv6/MTU/proxy/DNS).
  13. Ako se greška javlja i na hotspotu → fokus na Windows/Schannel podešavanja.
  14. Zabeleži event detalje:
  15.  
  16. Event Viewer → Schannel 36871 → “The internal error state is …” (npr. 10013) i eventualni “Error code” (npr. 0x80090331).
  17. Pošalji te brojeve ako želiš da precizno pogodimo root-uzrok.
  18. Brzi reset Windows TLS/Schannel (često odmah reši)
  19. Uradi sledeće (Command Prompt ili PowerShell – Run as Administrator):
  20. Ukloni nametnute “cipher suite”/ECC politike (ako postoje):
  21.  
  22. Provera:
  23. PowerShell:
  24. Get-TlsCipherSuite | measure
  25. Ako Count=0, policy je “obrisala” sve šifre.
  26. CMD:
  27. reg query "HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002" /v Functions
  28. reg query "HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002" /v EllipticCurveOrder
  29. Ako postoje pomenute vrednosti pod Policies, ukloni ih (napravi bekap):
  30. reg export "HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002" "%USERPROFILE%\Desktop\SSL_00010002_backup.reg"
  31. reg delete "HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002" /v Functions /f
  32. reg delete "HKLM\SOFTWARE\Policies\Microsoft\Cryptography\Configuration\SSL\00010002" /v EllipticCurveOrder /f
  33. Omogući TLS 1.2 (i 1.3 ako si na Win11):
  34.  
  35. reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" /v Enabled /t REG_DWORD /d 1 /f
  36. reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.2\Client" /v DisabledByDefault /t REG_DWORD /d 0 /f
  37. (Opcionalno za Win11)
  38. reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client" /v Enabled /t REG_DWORD /d 1 /f
  39. reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client" /v DisabledByDefault /t REG_DWORD /d 0 /f
  40. Resetuj WinInet/WinHTTP/Winsock/DNS:
  41.  
  42. Internet Options → Advanced → Restore advanced settings → čekiraj TLS 1.2 (i 1.3 ako postoji).
  43. Internet Options → Content → Clear SSL state.
  44. CMD (Admin):
  45. netsh winhttp reset proxy
  46. netsh winsock reset
  47. ipconfig /flushdns
  48. Proveri FIPS i .NET strong crypto:
  49.  
  50. FIPS mora biti Disabled:
  51. secpol.msc → Local Policies → Security Options → “System cryptography: Use FIPS…” → Disabled
  52. Ili reg: HKLM\System\CurrentControlSet\Control\Lsa\FIPSAlgorithmPolicy\Enabled = 0
  53. .NET strong crypto (ne škodi, pomaže starijim .NET app-ovima):
  54. reg add "HKLM\SOFTWARE\Microsoft.NETFramework\v4.0.30319" /v SchUseStrongCrypto /t REG_DWORD /d 1 /f
  55. reg add "HKLM\SOFTWARE\WOW6432Node\Microsoft.NETFramework\v4.0.30319" /v SchUseStrongCrypto /t REG_DWORD /d 1 /f
  56. Restartuj računar.
  57.  
  58. Provera posle restarta:
  59.  
  60. PowerShell: Get-TlsCipherSuite | select -first 5 (treba da ima par ECDHE_AES_GCM šifri)
  61. curl -v https://www.microsoft.com (treba da uspe bez TLS errora)
  62. Proveri u Event Viewer-u da li 36871 nestaje pri otvaranju Settings/Nahimic itd.
  63. Ako je uzrok mreža/RUTER/ISP (Yettel) – ključne stvari za proveru
  64. Yettel optika često donese:
  65. IPv6 (nekad “napola” radi)
  66. Drugačiji MTU/MSS
  67. Poneki ruter ima “Safe Browsing/Parental” opcije
  68. WPAD/Proxy auto-detect
  69. Uradi sledeće:
  70.  
  71. A) Proxy/WPAD
  72.  
  73. U Windows-u:
  74. Internet Options → Connections → LAN settings → isključi “Automatically detect settings” i “Use a proxy” (osim ako zaista koristiš proxy).
  75. WinHTTP:
  76. netsh winhttp show proxy
  77. Ako nije “Direct access”, uradi netsh winhttp reset proxy
  78. B) DNS i DoH
  79.  
  80. Privremeno postavi javni DNS na adapteru (IPv4):
  81. 1.1.1.1 i 1.0.0.1 ili 8.8.8.8 i 8.8.4.4
  82. Windows 11 DoH: Settings → Network & Internet → (Ethernet/Wi‑Fi) → DNS → privremeno isključi “Encrypted (DNS over HTTPS)” i testiraj.
  83. Posle promene: ipconfig /flushdns
  84. C) IPv6 test
  85.  
  86. Probaj privremeno da isključiš IPv6 na adapteru:
  87. Control Panel → Network and Sharing Center → Change adapter settings → desni klik na mrežu → Properties → skini ček na “Internet Protocol Version 6 (TCP/IPv6)”
  88. Ili PowerShell (Admin): Disable-NetAdapterBinding -Name "Ethernet" -ComponentID ms_tcpip6
  89. Restartuj aplikacije i vidi da li 36871 nestaje.
  90. Ako problem nestane bez IPv6, onda je IPv6 ruta/RA/DS-Lite kod provajdera problem. Rešenje: ostavi IPv6 isključen, ili isključi IPv6 na ruteru, ili zamoli provajdera da ispravi konfiguraciju.
  91. D) MTU/MSS clamping
  92. TLS handshake može pucati na “čudnom” MTU-u (fragmentacija/PMTUD problemi). Testiraj optimalni MTU:
  93.  
  94. Na IPv4 (CMD, Admin):
  95. Ping sa DF flagom i veličinom paketa:
  96. ping -f -l 1472 1.1.1.1
  97. Ako dobiješ “Packet needs to be fragmented”, smanjuj 1472 dok ne prođe (npr. 1464 → MTU 1492; 1452 → MTU 1480).
  98. Prikaži interfejse i trenutni MTU:
  99. netsh interface ipv4 show subinterfaces
  100. Postavi MTU na Ethernet/Wi‑Fi (zameniti “Ethernet” imenom interfejsa):
  101. netsh interface ipv4 set subinterface "Ethernet" mtu=1492 store=persistent
  102. Ako ruter ima opciju “MSS clamping” ili “Adjust MTU/MSS”, uključi i postavi na 1452/1492 (zavisi od PPPoE).
  103. E) “Bezbednosne” opcije na ruteru
  104.  
  105. Uđi u admin panel rutera:
  106. Isključi Parental/Safe Browsing/Content Filter/DPI/HTTPS inspection (ako postoji).
  107. Isključi “Auto Proxy/WPAD” ako ruter nudi.
  108. Ako postoji opcija “Firewall level”, stavi na Medium/Low za test.
  109. Ako ruter podržava “Bridge mode” i imaš svoj ruter – probaj bridge + svoj ruter (često reši bizarne TLS probleme).
  110. F) Testiraj IPv4 vs IPv6 konekciju direktno
  111.  
  112. curl -4 -v https://www.microsoft.com
  113. curl -6 -v https://www.microsoft.com
  114. Ako -6 puca, a -4 radi → problem je na IPv6 putu (ostavi IPv6 off ili popravi ruter/ISP).
  115. G) Kratki A/B test sa TLS 1.3
  116. Retko, ali neki ruteri/ISP middlebox-evi kvare TLS 1.3. Samo za test na 5 minuta:
  117.  
  118. Isključi TLS 1.3 klijent:
  119. reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client" /v Enabled /t REG_DWORD /d 0 /f
  120. reg add "HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client" /v DisabledByDefault /t REG_DWORD /d 1 /f
  121. Restartuj, testiraj, pa vrati na Enabled kada završiš (bezbednije je držati 1.3 uključen).
  122. Specifično za Nahimic i slične app-ove
  123. Ako ti Nahimic nije potreban, najlakše: Services (services.msc) → Nahimic service → Startup type: Disabled.
  124. Ako želiš da radi:
  125. Deinstaliraj i instaliraj Nahimic sa zvanične stranice proizvođača ploče/laptopa (MSI/ASUS/ASRock) – često dođe sa novijim TLS/DLL zavisnostima.
  126. Ako je app stariji i zahteva TLS 1.0/1.1, za TEST privremeno uključi TLS 1.0/1.1 u Internet Options → Advanced (posle testa vrati isključeno, iz bezbednosnih razloga).
  127. Proveri da li AV/EDR (npr. Kaspersky/ESET) radi HTTPS inspekciju – privremeno isključi “SSL/TLS inspection”.
  128. Ažuriranja, vreme i integritet sistema
  129. Proveri vreme/timezone i sinhronizaciju (pogrešan čas često lomi TLS verifikaciju).
  130. Windows Update kompletan (uključujući Optional updates).
  131. Root CA: Ako si dugo offline od WU, ručno pokreni “Update Root Certificates” (ili pričekaj WU).
  132. CMD (Admin): sfc /scannow
  133. DISM (Admin): DISM /Online /Cleanup-Image /RestoreHealth
  134. Šta da mi pošalješ ako i dalje puca
  135. Tačan Event 36871 tekst + “Internal error state = …” i eventualni “Error code”.
  136. Rezultat:
  137. PowerShell: (Get-TlsCipherSuite).Count
  138. netsh winhttp show proxy
  139. curl -4 -v https://www.microsoft.com i curl -6 -v https://www.microsoft.com (prvih ~20 linija izlaza)
  140. ping -f -l 1472 1.1.1.1 rezultat i koji je max -l koji prolazi
  141. Da li si isključio IPv6 i da li to rešava problem
  142. Model rutera i da li ima uključene “security/parental” opcije
  143. Zašto promene ISP-a mogu da “otkriju” problem
  144.  
  145. Novi ruter ume da uključi WPAD/auto-proxy ili “safe browsing” – Schannel greške krenu kada aplikacije pokušaju TLS kroz pogrešnu proxy rutu.
  146. IPv6 bude uključen ali polu-funkcionalan – klijent preferira IPv6 i handshake ne prolazi.
  147. MTU/MSS promena (PPPoE/GPON) – handshake fragmentacija bez ispravnog PMTUD.
  148. Ako je Schannel već bio “stegnut” (cipher suite order/ECC), na novoj ruti/serveru češće se nudi X25519/TLS 1.3; bez modernih krivih/protokola nema zajedničkog algoritma pa nastaje 36871.
  149. Kreni od testa sa hotspotom i brzim Schannel resetom (tačka 2). Ako to ne reši, fokus na IPv6/MTU/Proxy/DNS (tačka 3). Javi rezultate/poruke iz Event Viewer-a i komandi, pa ću ti dati precizne naredne korake za tvoj slučaj.
Advertisement
Add Comment
Please, Sign In to add comment
Public Pastes
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!