PRB: Δεν είναι δυνατό να επίσκεψη σε τοποθεσίες SSL μετά την ενεργοποίηση της κρυπτογράφησης συμβατή με FIPS

Ισχύει για: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)

Συμπτώματα


Όταν χρησιμοποιείτε το Microsoft Internet Explorer για να επισκεφθείτε μια τοποθεσία Web Secure Sockets Layer (SSL), "Δεν είναι δυνατή η εύρεση του διακομιστή" είναι εμφανίζεται στη γραμμή τίτλου και λαμβάνετε το ακόλουθο μήνυμα λάθους στο παράθυρο περιεχομένου του Internet Explorer:
Δεν είναι δυνατή η εμφάνιση της σελίδας.
Η σελίδα που αναζητάτε δεν είναι διαθέσιμη. Η τοποθεσία Web ενδέχεται να αντιμετωπίζει τεχνικές δυσκολίες ή ίσως χρειαστεί να προσαρμόσετε τις ρυθμίσεις του προγράμματος περιήγησης.
Δοκιμάστε τα εξής:
  • Κάντε κλικ στο κουμπί "Ανανέωση" ή δοκιμάστε ξανά αργότερα.
  • Εάν πληκτρολογήσατε τη διεύθυνση της σελίδας στη γραμμή διευθύνσεων, βεβαιωθείτε ότι την έχετε γράψει σωστά.
  • Για να ελέγξετε τις ρυθμίσεις σύνδεσης, κάντε κλικ στο μενού Εργαλεία και στη συνέχεια κάντε κλικ στην εντολή Επιλογές Internet. Στην καρτέλα συνδέσεις, κάντε κλικ στην επιλογή "Ρυθμίσεις". Οι ρυθμίσεις θα πρέπει να συμφωνούν με αυτές που παρέχονται από το διαχειριστή τοπικού δικτύου (LAN) ή την υπηρεσία παροχής Internet (ISP)
  • Εάν ο διαχειριστής του δικτύου σας έχει ενεργοποιήσει αυτήν τη δυνατότητα, τα Microsoft Windows να εξετάσουν το δίκτυό σας και να εντοπίσουν αυτόματα τις ρυθμίσεις σύνδεσης δικτύου
  • Εάν θέλετε τα Windows να εντοπιστούν αυτές οι ρυθμίσεις, κάντε κλικ στην επιλογή εντοπισμός ρυθμίσεων δικτύου
  • Ορισμένες τοποθεσίες απαιτούν ασφάλεια συνδέσεων 128-bit. Κάντε κλικ στο μενού "Βοήθεια" και, στη συνέχεια, κάντε κλικ στην επιλογή πληροφορίες για τον Internet Explorer για να προσδιορίσετε την ισχύ ασφαλείας που έχετε εγκαταστήσει
  • Εάν προσπαθείτε να επισκεφθείτε μια ασφαλή τοποθεσία, βεβαιωθείτε ότι οι ρυθμίσεις ασφαλείας σας μπορεί να το υποστηρίξει. Κάντε κλικ στο μενού Εργαλεία και στη συνέχεια κάντε κλικ στην εντολή Επιλογές Internet. Στην καρτέλα για προχωρημένους, μεταβείτε στην ενότητα ασφάλεια και ελέγξτε τις ρυθμίσεις SSL 2.0, SSL 3.0, TLS 1.0, PCT 1.0.
  • Κάντε κλικ στο κουμπί "πίσω" για να δοκιμάσετε μια άλλη σύνδεση. Τέλος, στο κάτω μέρος του IE παράθυρο περιεχόμενο που μπορείτε να δείτε το σφάλμα δεν μπορεί να βρει διακομιστή ή υπάρχει σφάλμα DNS
Όταν χρησιμοποιείτε την ακόλουθη τοποθεσία του Microsoft Windows Update στο Web:και κάνετε κλικ στο κουμπί σάρωση για ενημερωμένες εκδόσεις , ενδέχεται να λάβετε το ακόλουθο μήνυμα λάθους:
Σφάλμα κατά την ενημέρωση των Windows
Αυτός είναι ο αριθμός σφάλματος 0x800C0008. Αυτό το σφάλμα παρουσιάζεται επειδή το Windows Update αποτυγχάνει για να κάνετε λήψη του καταλόγου της ενημερωμένης έκδοσης λογισμικού μέσω SSL.

Αιτία


Αυτό το σφάλμα μπορεί να προκύψει, εάν έχετε ενεργοποιήσει την ακόλουθη ρύθμιση τοπικής ασφάλειας (ή η ρύθμιση έχει ενεργοποιηθεί ως μέρος μιας ρύθμισης πολιτικής ομάδας του τομέα):

Κρυπτογραφία συστήματος: χρήση FIPS συμβατό με αλγόριθμους για κρυπτογράφηση, κατακερματισμό και υπογραφή.

Εάν αυτή η ρύθμιση είναι ενεργοποιημένη, η υπηρεσία παροχής του καναλιού ασφαλείας του λειτουργικού συστήματος αναγκάζεται να χρησιμοποιήσει μόνο οι ακόλουθοι αλγόριθμοι ασφαλείας: TLS_RSA_WITH_3DES_EDE_CBC_SHA. Αυτή η συμπεριφορά αναγκάζει την υπηρεσία παροχής καναλιών ασφαλείας να διαπραγματευτεί το ισχυρότερο πρωτόκολλο Trasnport Layer Security (TLS) 1.0 μόνο όταν χρησιμοποιείτε εφαρμογές, όπως το Microsoft Windows Messenger, το MSN Messenger της Microsoft και του Internet Explorer για την επίσκεψη σε τοποθεσίες SSL.

Λαμβάνετε το μήνυμα λάθους που περιγράφεται στην ενότητα "Συμπτώματα" όταν ισχύει μία από τις ακόλουθες περιπτώσεις:
  • Επισκεφθείτε μια τοποθεσία Web που χρησιμοποιεί Microsoft Internet Information Services (IIS) 4.0 ή νεότερη έκδοση και του Internet Explorer δεν έχει ρυθμιστεί για υποστήριξη TLS 1.0. Από προεπιλογή, το TLS 1.0 δεν είναι ενεργοποιημένη σε όλες τις εκδόσεις του Internet Explorer.
  • Επισκεφθείτε μια τοποθεσία Web που εκτελεί το λογισμικό εκτός από τις υπηρεσίες Internet Information Services που δεν υποστηρίζει την κρυπτογράφηση, κατακερματισμού ή αλγόριθμους που είναι Ομοσπονδιακή πληροφορίες επεξεργασίας Standard (FIPS) συμβατό με την υπογραφή. Για παράδειγμα, χρησιμοποιείται το πρωτόκολλο SSL3 από πολλούς διακομιστές IIS Web για HTPPS. Ωστόσο, επειδή το SSL3 χρησιμοποιεί ο αλγόριθμος MD5 (έναν αλγόριθμο που δεν είναι συμβατή με FIPS), οι χρήστες των οποίων τοπική πολιτική ασφαλείας, επιβάλλεται η χρήση μόνο συμβατών με FIPS αντιμετωπίσετε το σφάλμα τεκμηριώνεται.

Προτεινόμενη αντιμετώπιση


Για να επιλύσετε αυτό το ζήτημα, χρησιμοποιήστε μία από τις ακόλουθες μεθόδους:
  • Μέθοδος 1

    Ενεργοποιήσετε πρώτα την υποστήριξη πρωτοκόλλου TLS 1.0 στον Internet Explorer. Εάν επισκεφθείτε μια τοποθεσία Web που εκτελεί τις υπηρεσίες Internet Information Services 4.0 ή υψηλότερη, τη ρύθμιση των παραμέτρων Internet Explorer για την υποστήριξη TLS 1.0 που βοηθά να ασφαλίσει τη σύνδεσή σας (Εάν ο απομακρυσμένος διακομιστής Web που προσπαθείτε να χρησιμοποιήσετε υποστηρίζει αυτό το πρωτόκολλο). Για να ρυθμίσετε τις παραμέτρους του Internet Explorer για να υποστηρίζουν το TLS 1.0, ακολουθήστε τα εξής βήματα:
    1. Στο μενού " Εργαλεία ", κάντε κλικ στην εντολή " Επιλογές Internet".
    2. Στην καρτέλα " για προχωρημένους ", στην περιοχή ασφαλείας, βεβαιωθείτε ότι είναι επιλεγμένα τα παρακάτω πλαίσια ελέγχου:
      • Χρήση του SSL 2.0
      • Χρήση του SSL 3.0
      • Χρήση του TLS 1.0
    3. Κάντε κλικ στο κουμπί εφαρμογή, και στη συνέχεια κάντε κλικ στο κουμπί OK.
    Αφού ενεργοποιήσετε το TLS 1.0, προσπαθήστε να επισκεφθείτε ξανά την τοποθεσία Web. Εάν ακόμη δεν μπορείτε να χρησιμοποιήσετε SSL, ο απομακρυσμένος διακομιστής Web πιθανώς δεν υποστηρίζει TLS 1.0.
  • Μέθοδος 2

    Εάν ο διακομιστής Web που επισκέπτεστε δεν υποστηρίζει το TLS 1.0, πρέπει να απενεργοποιήσετε την πολιτική συστήματος που απαιτεί αλγόριθμους συμβατή με FIPS. Για να το κάνετε αυτό, ακολουθήστε τα εξής βήματα:
    1. Στον πίνακα ελέγχου, κάντε κλικ στην επιλογή Εργαλεία διαχείρισηςκαι, στη συνέχεια, κάντε διπλό κλικ στην Τοπική πολιτική ασφαλείας.
    2. Στις Τοπικές ρυθμίσεις ασφαλείας, αναπτύξτε Τοπικές πολιτικέςκαι, στη συνέχεια, κάντε κλικ στο κουμπί Επιλογές ασφαλείας.
    3. Κάτω από την πολιτική στο δεξιό τμήμα του παραθύρου, κάντε διπλό κλικ στο Κρυπτογραφία συστήματος: χρήση συμβατών με FIPS για κρυπτογράφηση, κατακερματισμό και υπογραφή, και στη συνέχεια κάντε κλικ στην επιλογή απενεργοποιημένη.
    Η αλλαγή τίθεται σε ισχύ μετά την επανάληψη της εφαρμογής της τοπικής πολιτικής ασφαλείας.