PRB: Nu pot vizita site-uri SSL după ce activați FIPS compatibil cu criptografie

Se aplică la: Microsoft Windows Server 2003 Standard Edition (32-bit x86)Microsoft Windows Server 2003 Enterprise Edition (32-bit x86)Microsoft Windows Server 2003 Datacenter Edition (32-bit x86)

Simptome


Când utilizați Microsoft Internet Explorer pentru a vizita un site Web Secure Sockets Layer (SSL), "Cannot find server" se afișează bara de titlu și primiți următorul mesaj de eroare în panoul conținut din Internet Explorer:
Imposibil de afișat pagina.
Pagina pe care le căutați este indisponibil în acest moment. Site-ul Web pot fi întâmpină dificultăți tehnice sau trebuie să reglați setările browserului.
Încercați următoarele:
  • Faceți clic pe butonul de reîmprospătare sau încercați din nou mai târziu.
  • Dacă ați tastat adresa în bara de adrese, asigurați-vă că este scris corect.
  • Pentru a verifica setările de conexiune, faceți clic pe meniul Instrumente și apoi faceți clic pe Opțiuni Internet. În fila conexiuni, faceți clic pe Setări. Setările ar trebui să se potrivesc cu cele furnizate de furnizorul de servicii Internet (ISP) sau administratorul de rețea locală (LAN) dumneavoastră
  • Dacă administratorul de rețea a permis, Microsoft Windows pot examina rețeaua și descoperiți automat setările de conexiune de rețea
  • Dacă doriți ca Windows să încercați să le descoperi, faceți clic pe Detect Network Settings
  • Unele site-uri necesită conexiune 128 biți securitate. Meniul de ajutor și apoi faceți clic pe despre Internet Explorer pentru a determina ce securitate putere instalată
  • Dacă încercați să ajungă la un site securizat, asiguraţi-vă că setările de securitate se poate accepta. Faceți clic pe meniul Instrumente și apoi faceți clic pe Opțiuni Internet. Pe fila complex, defilați la secțiunea de securitate și Verificați setările pentru SSL 2.0, SSL 3.0, TLS 1.0, PCT 1.0.
  • Faceți clic pe butonul înapoi pentru a încerca un alt link. În cele din urmă, la extremitatea de jos ie panoul conținut, vedeți eroarea nu poate găsi server sau DNS Eroare
Când utilizați următorul site Microsoft Windows Update Web:şi faceţi clic pe butonul scanați pentru actualizări , este posibil să primiți următorul mesaj de eroare:
Eroare Windows Update
Acest lucru este numărul de eroare 0x800C0008. Această eroare apare deoarece Windows Update nu reușește să descărcați Catalogul de actualizări software prin SSL.

Cauza


Această eroare poate apărea dacă ați activat pe următoarea setare de securitate locală (sau setarea a fost activat ca parte dintr-un domeniu setare de politică de grup):

Sistem criptografie: utilizarea FIPS compatibil cu algoritmi de criptare, hash, și semnarea.

Dacă această setare este activată, furnizorul de canal de securitate ale sistemului de operare este obligat să utilizați numai următoarele algoritmi de securitate: TLS_RSA_WITH_3DES_EDE_CBC_SHA. Acest comportament impune furnizorul de canal de securitate să negocieze numai protocolul Transport Layer Security (TLS) 1.0 mai puternic atunci când utilizați aplicații, cum ar fi Microsoft Windows Messenger, Microsoft MSN Messenger și Internet Explorer pentru a vizita site-uri SSL.

Primiți eroarea care este descrisă în secțiunea "Simptome", atunci când este adevărată una dintre următoarele scenarii:
  • Când vizitați un site Web care utilizează Microsoft Internet Information Services (IIS) 4.0 sau o versiune ulterioară și Internet Explorer nu este configurat pentru a sprijini TLS 1.0. În mod implicit, TLS 1.0 nu este activată în toate versiunile de Internet Explorer.
  • Când vizitați un site Web care se execută software decât Internet Information Services care nu acceptă criptarea, hash, sau semnarea algoritmi care sunt Federală informații procesarea Standard (FIPS) compatibil. De exemplu, protocolul SSL3 este utilizat de multe servere IIS Web pentru HTPPS. Cu toate acestea, deoarece SSL3 utilizează MD5 algoritm (un algoritm care nu este compatibil cu FIPS), utilizatorii ale căror politică de securitate locală forced utilizarea algoritmilor numai FIPS compatibil cu experienţă documentate eroarea.

Rezolvare


Pentru a rezolva această problemă, utilizaţi una din următoarele metode:
  • Metoda 1

    Activați mai întâi suportul pentru protocolul TLS 1.0 în Internet Explorer. Dacă vizitați un site Web care se execută Internet Information Services 4.0 sau mai mare, configurarea Internet Explorer pentru a sprijini TLS 1.0 ajută pentru a securiza conexiunea (dacă serverul Web la distanță pe care încercați să utilizați acceptă acest protocol). Pentru a configura Internet Explorer pentru a accepta TLS 1.0, urmați acești pași:
    1. În meniul Instrumente, faceți clic pe Opțiuni Internet.
    2. În fila complex , sub securitate, asigurați-vă că sunt bifate casetele de selectare următoare:
      • Utilizarea SSL 2.0
      • Utilizarea SSL 3.0
      • Utilizarea TLS 1.0
    3. Se aplică, și apoi faceți clic pe OK.
    După ce activați TLS 1.0, încercați să vizitați site-ul Web din nou. Dacă tot nu se poate utiliza SSL, serverul Web la distanță, probabil nu acceptă TLS 1.0.
  • Metoda 2

    Dacă serverul Web pe care le vizitați nu acceptă TLS 1.0, trebuie să dezactivați politica de sistem care necesită FIPS compatibil cu algoritmi. Pentru a face acest lucru, urmați acești pași:
    1. În panoul de Control, faceți clic pe Instrumente de administrareși apoi faceți dublu clic pe Politica de securitate locală.
    2. În Local Security Settings, extindeți Local Policiesși apoi faceți clic pe Opțiunile de securitate.
    3. Politică în panoul din dreapta, faceți dublu clic pe sistem criptografie: utilizare FIPS compatibil cu algoritmi de criptare, hash, și semnarea, și apoi faceți clic pe Dezactivare.
    Se aplică modificările după politică de securitate locală este re-aplicate.