PRB: No puede visitar sitios SSL después de habilitar cifrado compatible con FIPS

Información de soporte técnico interno de Microsoft

Nº de error: 4163 (Mantenimiento de contenido)

Síntomas

Cuando utiliza Microsoft Internet Explorer para visitar un sitio Web de Secure Sockets Layer (SSL), "No se puede encontrar el servidor" es muestra la barra de título y recibirá el siguiente mensaje de error en el panel de contenido de Internet Explorer:

No se puede mostrar la página.
La página que busca no está disponible actualmente. Puede que el sitio Web esté sufriendo dificultades técnicas o puede que necesite ajustar la configuración del explorador.
Por favor, intente lo siguiente:

  • Haga clic en el botón Actualizar o inténtelo de nuevo más tarde.

  • Si escribió la dirección de la página en la barra de direcciones, asegúrese de que está escrita correctamente.

  • Para comprobar la configuración de conexión, haga clic en el menú Herramientas y, a continuación, haga clic en Opciones de Internet. En la ficha conexiones, haga clic en configuración. La configuración debe coincidir con los proporcionados por su administrador de red de área local (LAN) o un proveedor de servicios Internet (ISP)

  • Si el Administrador de red lo habilita, Microsoft Windows puede examinar la red y detectar automáticamente la configuración de la conexión de red

  • Si desea que Windows para tratar de descubrir de ellos, haga clic en detectar configuración de la red

  • Algunos sitios requieren seguridad de conexión de 128 bits. Haga clic en el menú Ayuda y, a continuación, haga clic en acerca de Internet Explorer para determinar la fuerza de seguridad ha instalado

  • Si está intentando conectarse a un sitio seguro, asegúrese de que la configuración de seguridad sea compatible con él. Haga clic en el menú Herramientas y, a continuación, haga clic en Opciones de Internet. En la ficha Opciones avanzadas, desplácese a la sección de seguridad y comprobar la configuración de SSL 2.0, SSL 3.0, TLS 1.0, PCT 1.0.

  • Haga clic en el botón Atrás para probar con otro vínculo. Por último, en la parte inferior de la IE panel de contenido puede ver el error no puede encontrar servidor o Error DNS

Cuando se utiliza el sitio Web Microsoft Windows Update siguiente:

y haga clic en el botón Buscar actualizaciones , puede recibir el siguiente mensaje de error:

Error de Windows Update

Éste es el número de error 0x800C0008. Este error se produce porque Windows Update no puede descargar el catálogo de actualización de software a través de SSL.

Causa

Este error puede producirse si ha habilitado a la siguiente configuración de seguridad local (o se ha habilitado la configuración como parte de una configuración de directiva de grupo de dominio):

Criptografía de sistema: usar FIPS algoritmos compatibles con para cifrado, firma y operaciones hash.

Si se habilita esta configuración, el proveedor de canal de seguridad del sistema operativo se ve obligado a utilizar los siguientes algoritmos de seguridad: TLS_RSA_WITH_3DES_EDE_CBC_SHA. Este comportamiento obliga el proveedor de canal de seguridad para negociar sólo el protocolo de seguridad de la capa de transporte (TLS) 1.0 más fuerte cuando usa aplicaciones como Microsoft Windows Messenger, Microsoft MSN Messenger y Internet Explorer para visitar sitios SSL.

Recibe el error descrito en la sección "Síntomas" cuando se cumple una de las siguientes situaciones:

  • Visite un sitio Web que utiliza servicios de Microsoft Internet Information Services (IIS) 4.0 o posterior y Internet Explorer no está configurado para la compatibilidad con TLS 1.0. De forma predeterminada, TLS 1.0 no está habilitado en todas las versiones de Internet Explorer.

  • Visite un sitio Web que se está ejecutando software que no sea de Internet Information Services que no admite el cifrado, hash o algoritmos de Federal Information Processing Standard (FIPS) compatible con la firma. Por ejemplo, se utiliza el protocolo SSL3 por muchos servidores Web que no sean IIS para HTTPS. Sin embargo, como SSL3 utiliza el algoritmo MD5 (un algoritmo que no es compatible con FIPS), los usuarios cuya directiva de seguridad local forzó el uso de sólo los algoritmos compatibles con FIPS experimentar el error documentado.

Solución

Para resolver este problema, utilice uno de los métodos siguientes:

  • Método 1Habilitar la compatibilidad con el protocolo TLS 1.0 en Internet Explorer en primer lugar. Si visita un sitio Web está ejecutando servicios de Internet Information Server 4.0 o superior, configurar Internet Explorer para soporte TLS 1.0 ayuda a proteger la conexión (si el servidor Web remoto que está intentando utilizar es compatible con este protocolo). Para configurar Internet Explorer para admitir TLS 1.0, siga estos pasos:

    1. En el menú Herramientas, haga clic en Opciones de Internet.

    2. En la ficha Opciones avanzadas , en seguridad, asegúrese de que están seleccionadas las casillas de verificación siguientes:

      • Usar SSL 2.0

      • Usar SSL 3.0

      • Usar TLS 1.0

    3. Haga clic en Aplicary, a continuación, haga clic en Aceptar.

    Tras habilitar TLS 1.0, intente visitar de nuevo el sitio Web. Si aún no puede utilizar SSL, el servidor Web remoto probablemente no admite TLS 1.0.

  • Método 2Si el servidor Web que se visita no admite TLS 1.0, debe deshabilitar la directiva del sistema que requiere algoritmos compatibles con FIPS. Para ello, siga estos pasos:

    1. En el Panel de Control, haga clic en Herramientas administrativasy, a continuación, haga doble clic en Directiva de seguridad Local.

    2. En Configuración de seguridad Local, expanda Directivas localesy, a continuación, haga clic en Opciones de seguridad.

    3. En la Directiva en el panel derecho, haga doble clic en criptografía de sistema: usar compatible con algoritmos FIPS para cifrado, firma y operaciones hashy, a continuación, haga clic en deshabilitado.

    El cambio tiene efecto después de que se vuelva a aplicar la directiva de seguridad local.

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¡Gracias por sus comentarios!

Gracias por sus comentarios. Quizá le interese ponerse en contacto con uno de nuestros agentes de soporte de Office.

×