PROBLEMA: Não é possível visitar sites SSL após ativar a criptografia compatível com FIPS

Quando você usa o Microsoft Internet Explorer para visitar um site SSL (Secure Sockets LAYER), "Servidor não encontrado" é exibidos na barra de título e exibida a seguinte mensagem de erro no painel de conteúdo do Internet Explorer: Quando você usa o site Microsoft Windows Update: e você clicar no botão Procurar atualizações , você pode receber a seguinte mensagem de erro:Este é o erro número 0x800C0008. Este erro ocorre porque o Windows Update tenta baixar o catálogo de atualização de software através de SSL.

Este erro pode ocorrer se você tiver ativado a seguinte configuração de segurança local (ou a configuração foi habilitada como parte de uma configuração de diretiva de grupo de domínio):

criptografia de sistema: usar FIPS compatível com algoritmos para criptografia, hash e assinatura.

Se essa configuração estiver habilitada, o provedor de canal de segurança do sistema operacional é forçado a usar somente os seguintes algoritmos de segurança: TLS_RSA_WITH_3DES_EDE_CBC_SHA. Esse comportamento faz com que o provedor de canal de segurança para negociar apenas o protocolo TLS (Trasnport Layer Security) 1.0 mais forte quando você usa aplicativos como o Microsoft Windows Messenger, o Microsoft MSN Messenger e o Internet Explorer para visitar sites SSL.

Você receberá o erro está descrito na seção "Sintomas" quando uma das seguintes situações for verdadeira:

• Visite um site que usa o Microsoft Internet Information Services (IIS) 4.0 ou posterior e o Internet Explorer não está configurado para suporte a TLS 1.0. Por padrão, o TLS 1.0 não está habilitado em todas as versões do Internet Explorer.
• Você visita um site que está executando software diferente do IIS que não oferece suporte à criptografia, hash ou assinatura algoritmos que são Federal Information Processing Standard (FIPS) compatível. Por exemplo, o protocolo SSL3 é usado por muitos servidores Web não-IIS para HTPPS. No entanto, como SSL3 usa o algoritmo MD5 (algoritmo que não é compatível com FIPS), os usuários cuja diretiva de segurança local forçado o uso de apenas algoritmos compatíveis com FIPS ter erro documentado.

Para resolver esse problema, use um dos seguintes métodos:

• Método 1

  Ative o suporte a protocolo TLS 1.0 no Internet Explorer primeiro. Se você visitar um site que está executando o Internet Information Services 4.0 ou superior, configurando para suporte a TLS 1.0 ajuda a proteger sua conexão (se o servidor Web remoto que você está tentando usar oferecer suporte a esse protocolo). Para configurar o Internet Explorer para oferecer suporte a TLS 1.0, execute essas etapas:
  1. No menu Ferramentas , clique em Opções da Internet .
  2. Na guia Avançado , em segurança , verifique se as seguintes caixas de seleção estão selecionadas:
     • usar SSL 2.0
     • usar SSL 3.0
     • Usar TLS 1.0
  3. Clique em Aplicar e, em seguida, clique em OK .
  Depois de habilitar TLS 1.0, tente visitar o site novamente. Se você ainda não é possível usar SSL, o servidor remoto provavelmente não oferece suporte TLS 1.0.

• Método 2

  Se o servidor Web que você visitar não oferecer suporte a TLS 1.0, você deve desativar a diretiva de sistema que requer algoritmos compatíveis com FIPS. Para fazer isso, execute as seguintes etapas:
  1. No painel de controle, clique em Ferramentas administrativas e, em seguida, clique duas vezes Local Security Policy .
  2. Em Configurações locais de segurança , expanda Diretivas locais e clique em Opções de segurança .
  3. Em diretiva no painel direito, clique duas vezes criptografia de sistema: usar algoritmos compatíveis com FIPS para criptografia, hash e assinatura e em seguida, clique em desativado .
  A alteração terá efeito depois que a diretiva de segurança local for reaplicada.