PRB: Po nelze přecházet na weby používající protokol SSL povolení kryptografie kompatibilní se standardem FIPS

Příznaky

Použijete-li aplikaci Microsoft Internet Explorer k webu protokol SSL (Secure Sockets Layer) (SSL) "Nelze nalézt server" je zobrazen v záhlaví okna a zobrazí následující chybová zpráva v podokně obsahu v aplikaci Internet Explorer:
Stránku nelze zobrazit.
Stránka, kterou hledáte, není momentálně k dispozici. Webový server má pravděpodobně technické potíže nebo je třeba změnit nastavení prohlížeče.
Vyzkoušejte následující možnosti:
  • Klepněte na tlačítko Aktualizovat nebo akci zopakujte později.
  • Pokud jste adresu stránky zadali na panelu Adresa, ujistěte se, zda je správně napsána.
  • Chcete-li zkontrolovat nastavení připojení, klepněte v nabídce Nástroje a klepněte na příkaz Možnosti Internetu. Na kartě připojení klepněte na tlačítko nastavení. Nastavení by měly odpovídat hodnotám poskytnutým poskytovatel metadat Internetu (ISP) nebo správce místní sítě (LAN)
  • Pokud správce sítě povolil ji, Microsoft Windows může prohledat síť a automaticky zjistit nastavení připojení k síti
  • Pokud chcete systém Windows a zkuste zjistit, klikněte na tlačítko Nastavení zjišťování sítě
  • Některé servery vyžadují zabezpečení 128bitovým připojení. Klepněte na nabídku Nápověda a potom klepněte na tlačítko o aplikaci Internet Explorer je nainstalována zabezpečení
  • Pokud se pokoušíte připojit na zabezpečený server, ujistěte se, že nastavení zabezpečení podporuje. Klepněte na nabídku Nástroje a potom klepněte na příkaz Možnosti Internetu. Na kartě Upřesnit přejděte do části zabezpečení a zkontrolujte nastavení pro protokol SSL 2.0, SSL 3.0, TLS 1.0 a PCT 1.0.
  • Klepněte na tlačítko Zpět a zkuste jiný odkaz. Nakonec úplně dole v aplikace Internet Explorer nemůže najít obsah podokna se zobrazí chyba server nebo chyba DNS
Při použití následujícího webu Microsoft Windows Update:a klepněte na tlačítko Vyhledat aktualizace , může se zobrazit následující chybová zpráva:
Chyba systému Windows Update
Toto je číslo chyby 0x800C0008. K této chybě dochází, protože Windows Update se nepodařilo stáhnout katalog aktualizací softwaru pomocí protokolu SSL.

Příčina

K této chybě může dojít, pokud povolíte následující nastavení místního zabezpečení (nebo nastavení je povoleno jako součást Zásady skupiny nastavení domény):

Kryptografie systému: použití FIPS vyhovující algoritmů pro šifrování, zatřiďování a podepisování.

Pokud je toto nastavení povoleno, bude vynuceno použití následující algoritmy zabezpečení poskytovatele kanál zabezpečení operačního systému: TLS_RSA_WITH_3DES_EDE_CBC_SHA. Toto chování přinutí poskytovatele kanál zabezpečení při použití aplikace, například Microsoft Windows Messenger, Microsoft MSN Messenger a Internet Explorer navštívíte weby používající protokol SSL vyjednávání silnější protokol Trasnport Layer Security (TLS) 1.0.

Obdržíte chybu, která je popsána v části "Příznaky", pokud platí jedna z následujících scénářů:
  • Navštivte web, který používá Internetová informační služba (IIS) 4.0 nebo novější a aplikaci Internet Explorer není nakonfigurován pro podporu TLS 1.0. Ve výchozím nastavení není povoleno TLS 1.0 ve všech verzích aplikace Internet Explorer.
  • Navštívíte web, který je spuštěn software než Internetová informační služba, která nepodporuje šifrování, výpočtu hodnoty hash a podepisování algoritmy, které jsou zpracování Standard FIPS (Federal Information) kompatibilní. Například protokol SSL3 používá mnoho IIS webové servery pro HTPPS. Však protože SSL3 používá algoritmus MD5 (algoritmus, který není kompatibilní se standardem FIPS), uživatelé, jejichž místní zásady zabezpečení vynuceno použití pouze vyhovující standardu FIPS docházet zdokumentované chyba.

Řešení

Chcete-li vyřešit tento problém, použijte jednu z následujících metod:
  • Metoda 1

    Nejprve povolte podporu protokolu TLS 1.0 v aplikaci Internet Explorer. Pokud navštívíte web, který je spuštěn Internetová informační služba 4.0 nebo vyšší, konfigurace aplikace Internet Explorer pro podporu TLS 1.0 pomáhá zabezpečit připojení (je-li tento protokol podporuje vzdálený webový server, který chcete použít). Chcete-li nakonfigurovat aplikaci Internet Explorer pro podporu TLS 1.0, postupujte takto:
    1. V nabídce Nástroje klikněte na Možnosti Internetu
    2. Na kartě Upřesnit ve skupinovém rámečku zabezpečeníUjistěte se, zda jsou vybrány následující zaškrtávací políčka:
      • Používat protokol SSL 2.0
      • Používat protokol SSL 3.0
      • Pomocí protokolu TLS 1.0
    3. Klepněte na tlačítko použíta potom klepněte na tlačítko OK.
    Zkuste znovu navštivte web po povolení TLS 1.0. Pokud stále nelze používat zabezpečení SSL, vzdálený webový server pravděpodobně nepodporuje TLS 1.0.
  • Metoda 2

    Pokud webový server, který navštívíte nepodporuje TLS 1.0, je nutné zakázat systémové zásady, které vyžaduje vyhovující standardu FIPS. Chcete-li to provést, postupujte takto:
    1. V okně Ovládací panely klepněte na položku Nástroje pro správua potom poklepejte na položku Místní zásady zabezpečení.
    2. V Místní nastavení zabezpečenírozbalte položku Místní zásadya potom klepněte na tlačítko Možnosti zabezpečení.
    3. V rámci zásad v pravém podokně poklepejte na Kryptografie systému: použití vyhovující standardu FIPS k šifrování, výpočtu hodnoty hash a k podepisovánía potom klepněte na položku Zakázáno.
    Tato změna se projeví po místní zásady zabezpečení je znovu.
Vlastnosti

ID článku: 811834 - Poslední kontrola: 16. 1. 2017 - Revize: 2

Váš názor