PRB: No se puede visitar sitios SSL después de habilitar criptografía compatible con FIPS

Seleccione idioma Seleccione idioma
Id. de artículo: 811834 - Ver los productos a los que se aplica este artículo
Expandir todo | Contraer todo

Síntomas

Cuando se utiliza Microsoft Internet Explorer para visitar un sitio Web de Secure Sockets Layer (SSL), "No se encuentra el servidor" es muestra la barra de título y recibir el siguiente mensaje de error en el panel de contenido de Internet Explorer:
No se puede mostrar la página.
La página que está buscando no está disponible en este momento. Puede que el sitio Web esté sufriendo dificultades técnicas o puede que sea necesario ajustar la configuración del explorador.
Pruebe lo siguiente:
  • Haga clic en el botón Actualizar o vuelva a intentarlo más tarde.
  • Si escribió la dirección de página en la barra de direcciones, asegúrese de que está escrito correctamente.
  • Para comprobar la configuración de conexión, haga clic en el menú Herramientas y, a continuación, haga clic en Opciones de Internet. En la ficha <B>Conexiones</B>, haga clic en <B>Configuración</B>. La configuración debe ser igual a la proporcionada por su administrador de red de área local (LAN) o su proveedor de servicios de Internet (ISP)
  • Si el Administrador de red ha habilitado éste, Microsoft Windows puede examinar la red y descubrir automáticamente la configuración de la conexión de red
  • Si le podría gusta Windows intente y descubrirlos, haga clic en Detectar configuración de red
  • Algunos sitios requieren una conexión de seguridad de 128 bits. Haga clic en el menú Ayuda y luego en Acerca de Internet Explorer para determinar la capacidad de seguridad instalada
  • Si está intentando obtener acceso a un sitio seguro, asegúrese de que es compatible con su configuración de seguridad. Haga clic en el menú Herramientas y, a continuación, haga clic en Opciones de Internet. En la ficha Opciones avanzadas, desplácese a la sección de Seguridad y compruebe la configuración de SSL 2.0, SSL 3.0, TLS 1.0 y PCT 1.0.
  • Haga clic en el botón Atrás para intentar otro vínculo. Por último, en la parte inferior de IE panel de contenido puede ver el error no puede encontrar el servidor o error DNS
Cuando utiliza el siguiente sitio Web de Microsoft Windows Update:
http://windowsupdate.microsoft.com
y haga clic en el botón Buscar actualizaciones , puede recibir el siguiente mensaje de error:
Error de Windows Update
Éste es número de error 0x800C0008. Este error se produce porque Windows Update no puede descargar el catálogo de actualización de software a través de SSL.

Causa

Este error puede producirse si ha habilitado a la siguiente configuración de seguridad local (o se ha habilitado la configuración como parte de una configuración de directiva de grupo de dominio):

criptografía de sistema: usar FIPS compatible con algoritmos para cifrado, firma y operaciones hash.

Si habilita esta opción, el proveedor de canal de seguridad del sistema operativo es obligado a utilizar los siguientes algoritmos de seguridad: TLS_RSA_WITH_3DES_EDE_CBC_SHA. Este comportamiento hace que el proveedor de canal de seguridad para negociar sólo el protocolo de seguridad de nivel de Trasnport (TLS) 1.0 mayor cuando usa aplicaciones como Microsoft Windows Messenger, Microsoft MSN Messenger y Internet Explorer para visitar sitios SSL.

Recibirá el error que se describe en la sección "Síntomas" cuando uno de los siguientes escenarios es true:
  • Visite un sitio Web que utiliza Microsoft Internet Information Services (IIS) 4.0 o posterior y Internet Explorer no está configurado para admitir TLS 1.0. De forma predeterminada, TLS 1.0 no está habilitado en todas las versiones de Internet Explorer.
  • Visite un sitio de Web que está ejecutando software distinto de servicios de Internet Information Server que no admite el cifrado, hash o algoritmos de Federal Information Processing Standard (FIPS) compatible con la firma. Por ejemplo, se utiliza el protocolo SSL3 por muchos servidores Web que no sean IIS para HTPPS. Sin embargo, puesto SSL3 utiliza el algoritmo MD5 (un algoritmo no es compatible con FIPS), los usuarios cuya directiva de seguridad local fuerza el uso de sólo algoritmos compatibles FIPS experimentar el error documentado.

Solución

Para resolver este problema, utilice uno de los métodos siguientes:
  • Método 1

    Habilitar primero la compatibilidad de protocolo de TLS 1.0 en Internet Explorer. Si visita un sitio Web se está ejecutando Servicios de Internet Information Server 4.0 o superior, configurar Internet Explorer para admitir TLS 1.0 ayuda a proteger la conexión (si el servidor Web remoto que está intentando utilizar admite este protocolo). Para configurar Internet Explorer para admitir TLS 1.0, siga estos pasos:
    1. En el menú Herramientas , haga clic en Opciones de Internet .
    2. En la ficha Avanzadas , en seguridad , asegúrese de que están seleccionadas las casillas de verificación siguientes:
      • Usar SSL 2.0
      • Usar SSL 3.0
      • Usar TLS 1.0
    3. Haga clic en Aplicar y, a continuación, haga clic en Aceptar .
    Después de habilitar TLS 1.0, intente visitar el sitio Web de nuevo. Si todavía no puede utilizar SSL, el servidor Web remoto probablemente no es compatible con TLS 1.0.
  • Método 2

    Si el servidor Web que visita no admite TLS 1.0, debe deshabilitar la directiva de sistema que requiere algoritmos compatibles FIPS. Para ello, siga estos pasos:
    1. En el panel de control, haga clic en Herramientas administrativas y, a continuación, haga doble clic en Directiva de seguridad local .
    2. En Configuración de seguridad local , expanda Directivas locales y, a continuación, haga clic en Opciones de seguridad .
    3. En la directiva en el panel derecho, haga doble clic en criptografía de sistema: usar FIPS algoritmos compatibles con para cifrado, firma y operaciones hash y a continuación, haga clic en deshabilitado .
    El cambio surtirá efecto después de la directiva de seguridad local vuelven a aplicar.

Propiedades

Id. de artículo: 811834 - Última revisión: martes, 15 de junio de 2004 - Versión: 3.3
La información de este artículo se refiere a:
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • the operating system: Microsoft Windows XP
  • the operating system: Microsoft Windows XP SP1
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Palabras clave: 
kbmt kbprb KB811834 KbMtes
Traducción automática
IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.
Haga clic aquí para ver el artículo original (en inglés): 811834

Enviar comentarios

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com