После установки последних пакетов для Windows 11 пользователи столкнулись с нестабильной работой localhost: приложения перестали устанавливать соединения по HTTP/2 с IP-адресом 127.0.0.1. Проблема наблюдается после внедрения октябрьского кумулятивного обновления KB5066835 и сентябрьского preview-пакета KB5065789, что подтвердили многочисленные сообщения на форумах Microsoft, Stack Exchange и Reddit.
Суть проблемы: отказ HTTP/2-подключений к 127.0.0.1
Сбой проявляется при попытке установить HTTP/2-соединение с локально запущенным сервисом. Вместо успешного рукопожатия пользователи получают типовые ошибки браузеров и клиентов, включая ERR_CONNECTION_RESET и ERR_HTTP2_PROTOCOL_ERROR. На практике это ломает как разработческое тестирование на localhost, так и работу приложений, которые полагаются на локальные веб-службы для аутентификации, проверки состояния устройства или обмена данными.
Кого затронул сбой и какие ошибки фиксируются
Проблема затрагивает широкий спектр инструментов. Пользователи сообщают о сбоях в отладке веб-приложений из Visual Studio, трудностях с аутентификацией SSMS Entra ID, а также о нарушениях в работе Duo Desktop/Duo Prompt, использующих локальные веб-эндпоинты. В бюллетене поддержки Duo отмечается, что на системах с Windows 11 24H2/25H2 после установки упомянутых обновлений Duo Prompt может не получать доступ к Duo Desktop, что приводит к неудачной аутентификации или ограниченной функциональности в сценариях Zero Trust (Trusted Endpoints, Device Health, Duo Passport, Verified Duo Push с Bluetooth Autofill/Proximity Verification).
Что известно о причинах
Официальных технических деталей пока немного. Судя по характеру ошибок, сбой связан с изменениями в сетевом стеке Windows при обработке HTTP/2 на loopback-интерфейсе. HTTP/2 использует мультиплексирование потоков и иное поведение транспортного уровня, чем HTTP/1.1, поэтому даже незначительные правки в политике ALPN или в HTTP.sys могут приводить к сбросу соединений на 127.0.0.1. Хотя речь идет о локальном трафике, последствия затрагивают критичные бизнес-процессы: SSO-потоки, проверки соответствия политике безопасности и CI/CD.
Временные обходные пути: от реестра до сигнатур Defender
Сообщество предлагает несколько временных решений. На ресурсе BornCity отмечается, что помогает отключение HTTP/2 на уровне ОС через реестр Windows: установить значения EnableHttp2Tls=0 и EnableHttp2Cleartext=0 в ветке HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\HTTP\Parameters. Это переводит локальные соединения на HTTP/1.1 и устраняет сбои, но может снизить производительность и повлиять на функциональность, ожидающую HTTP/2.
Часть пользователей также сообщает об успехе после установки свежих сигнатур Microsoft Defender, однако этот метод работает не у всех. На момент подготовки материала самым надежным способом восстановить стабильность остается удаление проблемных пакетов KB5066835 и KB5065789 с последующей перезагрузкой: после отката loopback снова принимает HTTP/2-соединения.
Рекомендации для ИТ-отделов и разработчиков
Управление обновлениями и мониторинг
Для корпоративных сред стоит временно приостановить распространение указанных обновлений через WSUS/Intune, применить поэтапное развертывание и усилить мониторинг ошибок соединений на локальном хосте. Важно зафиксировать инциденты в системе тикетов, собрать логи сетевого стека и приложений (включая трассировки HTTP/2) и отслеживать официальные уведомления Microsoft и вендоров, чьи продукты завязаны на localhost.
Митигирование на уровне приложений
До выхода исправления целесообразно принудительно переводить локальные клиенты на HTTP/1.1, если это поддерживается: параметрами запуска (например, для curl —http1.1), настройками SDK/фреймворков или конфигурацией обратных прокси. Для сервисов, критичных к латентности, оцените влияние отказа от HTTP/2 до внедрения системного обходного пути через реестр.
Сбой с HTTP/2 на localhost наглядно демонстрирует, насколько чувствительны современные процессы разработки и аутентификации к изменениям сетевого стека ОС. Если вы столкнулись с ошибками ERR_CONNECTION_RESET или ERR_HTTP2_PROTOCOL_ERROR на 127.0.0.1 после установки KB5066835/KB5065789, используйте один из временных обходных путей или выполните откат обновлений. Рекомендуется документировать инциденты, централизованно управлять патчами и тестировать их в пилотных кольцах, чтобы минимизировать простои и риски для кибербезопасности.
