Klargør dit netværk til kvantesikker kryptering i TLS

Få mere at vide om kvantesikker kryptering i TLS, og hvordan du kontrollerer, om din organisations webservere er klar.

I iOS 26, iPadOS 26, macOS Tahoe 26 og visionOS 26 vil TLS-beskyttede forbindelser automatisk annoncere understøttelse af hybrid, kvantesikker nøgleudveksling i TLS 1.3. Det gør det muligt at forhandle en kvantesikker algoritme til nøgleudveksling med TLS 1.3-servere, der understøtter det, samtidig med at det hjælper med at opretholde kompatibilitet med servere, der endnu ikke understøtter denne nye algoritme. Brugen af kvantesikker kryptering, også kaldet "post-kvantekryptering", er designet til at forhindre en hacker i at registrere TLS-forbindelsestrafik og derefter bruge en fremtidig kvantecomputer til at dekryptere indholdet.

ClientHello-beskeden fra enheder med iOS 26, iPadOS 26, macOS Tahoe 26 og visionOS 26 vil inkludere X25519MLKEM768 i udvidelsen supported_groups (se registreringsdatabasen) sammen med en tilsvarende nøgleshare i udvidelsen key_share. Servere kan vælge X25519MLKEM768, hvis de understøtter det, eller bruge en anden gruppe, der er annonceret i ClientHello-beskeden.

Kontroller, om en webserver understøtter kvantesikker kryptering

Fra og med macOS Tahoe 26 kan du kontrollere, om din HTTPS-server understøtter algoritmen X25519MLKEM768 til nøgleudveksling, ved hjælp af følgende kommando:

nscurl --tls-diagnostics https://test.example

Servere, der understøtter kvantesikker kryptering, returnerer følgende:

Negotiated TLS version (codepoint): 0x0304

Negotiated TLS key exchange group (name): X25519MLKEM768

Negotiated TLS ciphersuite (codepoint): 0x1302

Servere, der ikke understøtter kvantesikker kryptering, vælger andre understøttede grupper i løbet af TLS-håndtrykket for at give enheder med iOS 26, iPadOS 26, macOS Tahoe 26 og visionOS 26 tilladelse til at oprette forbindelse.

Fejlfinding af forbindelsesproblemer

Enheder med iOS 26, iPadOS 26, macOS Tahoe 26 og visionOS 26 kan muligvis ikke oprette forbindelse til nogle ældre servere på grund af en forkert TLS-implementering, der ikke kan læse store ClientHello-beskeder. Du kan finde flere oplysninger om dette serverproblem her.

Hvis du har brug for at oprette forbindelse fra iOS 26, iPadOS 26, macOS Tahoe 26 og visionOS 26 til en server eller en netværksenhed, der er berørt af dette problem, før du løser det, kan du midlertidigt slå kompatibilitetstilstand til for at tillade, at der gøres forsøg på at oprette forbindelse igen, uden at annoncere understøttelse af kvantesikker kryptering. Bemærk, at dette er en midlertidig kompatibilitetstilstand, der ikke vil være tilgængelig i en fremtidig version af iOS, iPadOS, macOS og visionOS.

Brug følgende kommando til at slå denne kompatibilitetstilstand til på macOS Tahoe 26:

defaults write com.apple.network.tls AllowPQTLSFallback -bool true

Konfigurationsprofiler til aktivering af denne kompatibilitetstilstand på iOS 26, iPadOS 26, macOS Tahoe 26 og visionOS 26 ved hjælp af en tjeneste til enhedsadministration er tilgængelige på siden med ressourcer til AppleSeed for IT.