Renegociação de Conexão Criptografada no Outlook: Como Reduzir a Lentidão na Reconexão
🔍 WiseChecker

Renegociação de Conexão Criptografada no Outlook: Como Reduzir a Lentidão na Reconexão

Quando o Outlook se reconecta ao Exchange Online ou a um servidor local, ocorre uma renegociação de conexão criptografada. Essa renegociação verifica o certificado TLS e estabelece um novo canal seguro. Se esse processo levar vários segundos, você verá um status persistente de “Tentando conectar…” na barra de status. Essa lentidão acontece quando o servidor exige um handshake TLS completo em vez de usar uma sessão em cache. Este artigo explica por que a renegociação atrasa a reconexão e como reduzir essa lentidão ajustando configurações do Outlook e do Windows.

Principais Conclusões: Reduza a Lentidão na Reconexão do Outlook

  • Arquivo > Configurações de Conta > Configurações de Conta > Alterar > Mais Configurações > guia Conexão: Desabilite a opção avançada “Exigir segurança de rede de logon” para usar autenticação NTLM mais rápida em vez de Kerberos.
  • Registro do Windows: TcpAckFrequency e TCPNoDelay: Reduza o atraso de confirmação TCP para acelerar a conclusão do handshake TLS.
  • Painel de Controle > Opções de Internet > Avançado > Segurança: Habilite apenas TLS 1.2 e desabilite protocolos mais antigos para reduzir a sobrecarga de negociação.

ADVERTISEMENT

Por que a Renegociação de Conexão Criptografada Causa Lentidão

Quando o Outlook transita de um estado offline ou desconectado de volta para online, ele precisa renegociar a conexão criptografada com o servidor de e-mail. Esse processo envolve um handshake TLS, que inclui validação de certificado, negociação de conjunto de cifras e geração de chave de sessão. Em uma conexão padrão do Exchange Online, o handshake completo leva de 200 a 800 milissegundos. Mas se o servidor não suportar retomada de sessão TLS, ou se o Outlook for forçado a usar um protocolo de autenticação mais lento, a renegociação pode levar de 3 a 10 segundos.

A causa raiz geralmente é a camada de autenticação. Por padrão, o Outlook para Microsoft 365 usa autenticação Kerberos ao conectar-se ao Exchange Online. O Kerberos exige viagens de ida e volta adicionais ao controlador de domínio para obter um ticket de concessão de ticket. Se o controlador de domínio estiver lento ou inacessível, a renegociação para. Outra causa é a pilha TCP do Windows. O atraso de confirmação TCP padrão de 200 milissegundos pode adicionar até 1,5 segundos de atraso cumulativo durante o handshake TLS de várias etapas.

Retomada de Sessão TLS e Seu Papel

A retomada de sessão TLS permite que o cliente e o servidor reutilizem uma chave de sessão estabelecida anteriormente, pulando a etapa cara de criptografia de chave pública. O Exchange Online suporta retomada de sessão TLS 1.2 por padrão. No entanto, os clientes desktop do Outlook nem sempre solicitam retomada de sessão se o perfil de conexão usar configurações de autenticação legadas. Quando a retomada de sessão falha, o handshake completo é executado toda vez que o Outlook se reconecta, causando lentidão perceptível.

Passos para Reduzir a Lentidão na Renegociação de Conexão Criptografada

Aplique essas alterações em ordem. Cada ajuste reduz o tempo que o Outlook gasta em autenticação e atrasos no nível TCP.

Passo 1: Alterar a Autenticação do Outlook para NTLM

  1. Abra Configurações de Conta
    No Outlook, vá em Arquivo > Configurações de Conta > Configurações de Conta. Selecione sua conta de e-mail e clique em Alterar.
  2. Abra Mais Configurações
    Na janela Alterar Conta, clique em Mais Configurações. Vá para a guia Conexão.
  3. Desabilite a Autenticação Kerberos
    Em “Segurança de rede de logon,” desmarque a caixa rotulada “Exigir segurança de rede de logon.” Clique em OK.
  4. Reinicie o Outlook
    Feche e reabra o Outlook. A próxima reconexão usará autenticação NTLM, que tem menos viagens de ida e volta e reduz o tempo de renegociação em 1 a 3 segundos.

Passo 2: Otimizar Configurações de Confirmação TCP

  1. Abra o Editor do Registro
    Pressione Win + R, digite regedit e pressione Enter. Navegue até HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces.
  2. Encontre o GUID da Sua Interface de Rede
    Expanda a chave Interfaces. Selecione cada subchave e procure por uma que contenha um endereço IP correspondente ao seu adaptador de rede ativo. Anote o GUID dessa subchave.
  3. Adicione TcpAckFrequency
    Clique com o botão direito na subchave GUID, selecione Novo > Valor DWORD (32 bits). Nomeie como TcpAckFrequency. Defina seu valor para 1. Isso força a pilha TCP a enviar uma confirmação imediatamente, em vez de esperar 200 milissegundos.
  4. Adicione TCPNoDelay
    Crie outro valor DWORD chamado TCPNoDelay. Defina seu valor para 1. Isso desabilita o algoritmo de Nagle, que pode atrasar pacotes pequenos durante o handshake TLS.
  5. Reinicie o Windows
    Reinicie o computador para que as alterações no registro entrem em vigor.

Passo 3: Restringir Protocolos TLS Apenas para TLS 1.2

  1. Abra Opções de Internet
    Pressione Win + R, digite inetcpl.cpl e pressione Enter. Vá para a guia Avançado.
  2. Desabilite Versões TLS Antigas
    Role até a seção Segurança. Desmarque todas as caixas em TLS 1.0, TLS 1.1 e SSL. Marque apenas TLS 1.2. Clique em Aplicar e OK.
  3. Verifique no Outlook
    Reinicie o Outlook. O cliente e o servidor agora negociam exclusivamente TLS 1.2, o que reduz o número de opções de conjunto de cifras a testar durante o handshake.

ADVERTISEMENT

Se o Outlook Ainda Apresentar Lentidão na Reconexão Após Essas Alterações

Outlook Permanece no Estado “Desconectado” por 10 Segundos ou Mais

Isso indica um problema no nível de rede, em vez de um problema de negociação de protocolo. Execute a ferramenta de Diagnóstico de Rede do Windows clicando com o botão direito no ícone de rede na bandeja do sistema e selecionando Solucionar problemas. Se o diagnóstico não encontrar problemas, verifique seu firewall ou proxy quanto a regras de inspeção TLS. A inspeção TLS adiciona etapas extras de validação de certificado que aumentam o tempo de handshake. Entre em contato com seu administrador de rede para confirmar se a inspeção TLS não está adicionando mais de 2 segundos de latência.

Outlook Solicita Senha Repetidamente Após a Renegociação

Isso ocorre quando a mudança no método de autenticação de Kerberos para NTLM entra em conflito com as credenciais armazenadas no Gerenciador de Credenciais do Windows. Abra Painel de Controle > Gerenciador de Credenciais > Credenciais do Windows. Remova todas as entradas em Credenciais Genéricas que façam referência a MicrosoftOffice ou Microsoft.Outlook. Reinicie o Outlook e digite sua senha novamente quando solicitado.

Alterações no Registro Não Reduzem a Lentidão

Se você aplicou as edições de registro TcpAckFrequency e TCPNoDelay, mas ainda vê reconexões de 3 segundos, a lentidão pode ser causada pelo driver do adaptador de rede. Atualize o driver do adaptador de rede para a versão mais recente do site do fabricante. Após a atualização, execute um teste de ping para o servidor Exchange: abra o Prompt de Comando e digite ping outlook.office365.com -n 10. Se a latência média exceder 30 milissegundos, a lentidão é devida à distância de rede, não à configuração do Outlook.

Métodos de Autenticação para Outlook: Kerberos vs NTLM vs Autenticação Moderna

Item Kerberos NTLM
Viagens de ida e volta necessárias 6 a 8 2 a 3
Dependência do controlador de domínio Necessário para ticket de concessão de ticket Não necessário para credenciais em cache
Tempo de renegociação 3 a 10 segundos 1 a 3 segundos
Nível de segurança Alto (autenticação mútua) Médio (baseado em hash de senha)
Melhor para Redes corporativas com domínio Trabalhadores remotos com VPN ou DC lento

A Autenticação Moderna (OAuth 2.0) não está listada porque se aplica apenas a conexões do Outlook para Microsoft 365 e não afeta a etapa de renegociação TLS. Se você usa Autenticação Moderna, os métodos de redução de lentidão neste artigo ainda se aplicam, pois o handshake TLS ocorre antes da troca de token OAuth.

Agora você pode reduzir a lentidão na reconexão do Outlook alternando para autenticação NTLM, ajustando as configurações de confirmação TCP e restringindo os protocolos TLS para 1.2. Teste o tempo de reconexão desconectando o cabo de rede por 10 segundos e reconectando enquanto observa a barra de status do Outlook. Se a lentidão permanecer acima de 2 segundos, execute a ferramenta de Diagnóstico de Rede do Windows e verifique se o driver do adaptador de rede está atualizado. Para uma melhoria adicional, habilite o TLS 1.3 no Windows se o servidor Exchange suportá-lo, adicionando o valor DWORD Enabled em HKLM\SYSTEM\CurrentControlSet\Control\SecurityProviders\SCHANNEL\Protocols\TLS 1.3\Client e definindo-o como 1.

ADVERTISEMENT