PROBLÈME : Impossible de visiter des sites SSL après avoir activé la cryptographie compatible FIPS

Traductions disponibles Traductions disponibles
Numéro d'article: 811834 - Voir les produits auxquels s'applique cet article
Agrandir tout | Réduire tout

Symptômes

Lorsque vous utilisez Microsoft Internet Explorer pour visiter un site Web SSL, le message « Impossible de trouver le serveur » s'affiche dans la barre de titre et vous recevez le message d'erreur suivant dans le volet de contenu d'Internet Explorer :
Impossible d'afficher la page.
La page que vous recherchez est actuellement indisponible. Le site Web rencontre peut-être des difficultés techniques ou il vous faut peut-être modifier les paramètres de votre navigateur.
Essayez de la manière suivante :
  • Cliquez sur le bouton Actualiser ou réessayez plus tard.
  • Si vous avez entré l'adresse de cette page dans la barre d'adresses, vérifiez qu'elle est correcte.
  • Pour vérifier vos paramètres de connexion, cliquez sur le menu Outils, puis sur Options Internet. Sur l'onglet Connexions, cliquez sur Paramètres. Les paramètres doivent correspondre à ceux fournis par votre administrateur réseau ou par votre fournisseur d'accès à Internet.
  • Si votre administrateur réseau a autorisé cette opération, Microsoft Windows peut examiner votre réseau et détecter automatiquement les paramètres de connexion réseau.
  • Si vous souhaitez que Windows essaie de les trouver, cliquez sur Détecte les paramètres réseau.
  • Certains sites exigent une sécurité de connexion 128 bits. Cliquez sur le menu ? (Aide), puis sur À propos de Internet Explorer pour déterminer le niveau de cryptage installé.
  • Si vous essayez d'atteindre un site sécurisé, vérifiez que vos paramètres de sécurité peuvent le prendre en charge. Cliquez sur le menu Outils, puis sur Options Internet. Dans l'onglet Avancées, passez à la section Sécurité, puis vérifiez les paramètres de SSL 2.0, SSL 3.0, TLS 1.0 et PCT 1.0.
  • Cliquez sur le bouton Retour pour essayer un autre lien. Enfin, tout en bas du volet de contenu d'Internet Explorer, vous voyez s'afficher l'erreur Impossible de trouver le serveur ou Erreur DNS.
Lorsque vous utilisez le site Web Microsoft Windows Udpate suivant :
http://update.microsoft.com
et que vous cliquez sur le bouton Rechercher des mises à jour, il arrive que le message d'erreur suivant s'affiche :
Erreur Windows Update
Il s'agit du message d'erreur numéro 0x800C0008. Cette erreur se produit parce que Windows Update ne parvient pas à télécharger le catalogue de mise à jour de logiciel via SSL.

Cause

Cette erreur peut se produire si vous avez activé le paramètre de sécurité local suivant (ou si le paramètre a été activé dans le cadre d'une définition de stratégie de groupe de domaine) :

Cryptographie système : utilisez des algorithmes compatibles FIPS pour le cryptage, le hachage et la signature.

Si ce paramètre est activé, le fournisseur du canal de la sécurité du système d'exploitation est obligé d'utiliser uniquement les algorithmes de sécurité suivants : TLS_RSA_WITH_3DES_EDE_CBC_SHA. Ce comportement force le fournisseur du canal de sécurité à négocier uniquement le protocole TLS 1.0 le plus puissant lorsque vous utilisez des applications telles que Microsoft Windows Messenger, Microsoft MSN Messenger et Internet Explorer pour visiter des sites SSL.

Lorsque l'un des scénarios suivants se produit, le message d'erreur décrit dans la section « Symptômes » s'affiche :
  • Vous visitez un site Web qui utilise les services Internet (IIS, Internet Information Services) Microsoft 4.0 ou version ultérieure, et Internet Explorer n'est pas configuré pour prendre en charge TLS 1.0. Par défaut, TLS 1.0 n'est pas activé dans toutes les versions d'Internet Explorer.
  • Vous visitez un site Web qui exécute un logiciel autre que IIS qui ne prend pas en charge le chiffrement, le hachage ou les algorithmes de signature qui sont compatibles FIPS. Par exemple, le protocole SSL3 est utilisé par beaucoup de serveurs Web non IIS pour HTPPS. Toutefois, étant donné que SSL3 utilise l'algorithme MD5 (un algorithme qui n'est pas compatible FIPS), les utilisateurs dont la stratégie de sécurité locale a forcé l'utilisation unique des algorithmes compatibles FIPS voient s'afficher l'erreur indiquée.

Résolution

Pour résoudre ce problème, appliquez l'une des méthodes suivantes :
  • Méthode 1

    Activez la prise en charge du protocole TLS dans Internet Explorer en premier. Si vous visitez un site Web qui exécute les services IIS 4.0 ou version ultérieure, la configuration d'Internet Explorer afin qu'il prenne en charge TLS 1.0 permet de sécuriser votre connexion (si le serveur Web distant que vous essayez d'utiliser prend en charge ce protocole). Pour configurer Internet Explorer afin qu'il prenne en charge TLS 1.0, procédez comme suit :
    1. Dans le menu Outils, cliquez sur Options Internet.
    2. Sur l'onglet Avancé, sous Sécurité, vérifiez que les cases à cocher suivantes sont activées :
      • SSL 2.0
      • SSL 3.0
      • TLS 1.0
    3. Cliquez sur Appliquer, puis sur OK.
    Une fois que TLS 1.0 est activé, tentez à nouveau de visiter le site. Si vous ne pouvez pas toujours pas utiliser SSL, le serveur Web distant ne prend probablement pas en charge TLS 1.0.
  • Méthode 2

    Si le serveur Web que vous visitez ne prend pas en charge TLS 1.0, vous devez désactiver la stratégie système qui force l'utilisation d'algorithmes compatibles FIPS. Pour cela, procédez comme suit :
    1. Dans le Panneau de configuration, cliquez sur Outils d'administration, puis double-cliquez sur Stratégie de sécurité locale.
    2. Dans Paramètres de sécurité locaux, développez Stratégies locales, puis cliquez sur Options de sécurité.
    3. Sous Stratégie dans le volet droit, double-cliquez sur Cryptographie système : utilisez des algorithmes compatibles FIPS pour le cryptage, le hachage et la signature, puis cliquez sur Désactivé.
    La modification est appliquée une fois que la stratégie de sécurité locale a été réappliquée.

Propriétés

Numéro d'article: 811834 - Dernière mise à jour: vendredi 13 mai 2011 - Version: 4.0
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Datacenter Edition (32-bit x86)
  • Microsoft Windows Small Business Server 2003 Premium Edition
  • Microsoft Windows Small Business Server 2003 Standard Edition
Mots-clés : 
kbprb KB811834
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.

Envoyer des commentaires

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com