Preparar tu red para encriptación cuántica segura en TLS

Obtén información sobre la encriptación cuántica segura en TLS y cómo comprobar si los servidores web de tu organización están listos.

En iOS 26, iPadOS 26, macOS Tahoe 26 y visionOS 26, las conexiones protegidas por TLS anunciarán automáticamente soporte para el intercambio cuánticamente seguro de claves híbridas en TLS 1.3. Esto permite la negociación de un algoritmo de intercambio de claves cuánticamente seguro con servidores TLS 1.3 que lo admitan, al tiempo que ayuda a mantener la compatibilidad con servidores que aún no admiten este nuevo algoritmo. El uso de la encriptación cuántica segura, también llamada «encriptación poscuántica», está diseñado para evitar que un atacante registre el tráfico de conexión TLS y luego utilice un ordenador cuántico futuro para desencriptar el contenido.

El mensaje ClientHello de los dispositivos con iOS 26, iPadOS 26, macOS Tahoe 26 y visionOS 26 incluirá X25519MLKEM768 en la extensión supported_groups (consulta el registro), junto con la clave correspondiente en la extensión key_share. Los servidores pueden seleccionar X25519MLKEM768 si lo admiten, o usar otro grupo anunciado en el mensaje ClientHello.

Comprobar si un servidor web admite encriptación cuántica segura

A partir de macOS Tahoe 26, puedes comprobar si el servidor HTTPS es compatible con el algoritmo de intercambio de claves X25519MLKEM768 mediante el siguiente comando:

nscurl --tls-diagnostics https://test.example

Los servidores que admitan encriptación cuántica segura devolverán lo siguiente:

Versión de TLS negociada (punto de código): 0x0304

Grupo de intercambio de claves TLS negociado (nombre): X25519MLKEM768

Conjunto criptográfico TLS negociado (punto de código): 0x1302

Los servidores que no admitan encriptación cuántica segura seleccionarán otros grupos compatibles durante el protocolo de enlace TLS para permitir que se conecten los dispositivos con iOS 26, iPadOS 26, macOS Tahoe 26 y visionOS 26.

Solución de problemas de conexión

Los dispositivos con iOS 26, iPadOS 26, macOS Tahoe 26 y visionOS 26 pueden no conectarse a algunos servidores antiguos debido a una implementación TLS incorrecta incapaz de leer mensajes grandes ClientHello. Puedes consultar más información sobre este problema del servidor aquí.

Si necesitas conectar dispositivos con iOS 26, iPadOS 26, macOS Tahoe 26 y visionOS 26 a un servidor o dispositivo de red afectado por este problema antes de solucionarlo, puedes habilitar temporalmente un modo de compatibilidad para permitir que las conexiones se reintenten sin anunciar soporte para encriptación cuántica segura. Ten en cuenta que este es un modo de compatibilidad temporal que no estará disponible en una versión futura de iOS, iPadOS, macOS y visionOS.

Usa el siguiente comando para habilitar este modo de compatibilidad en macOS Tahoe 26:

defaults write com.apple.network.tls AllowPQTLSFallback -bool true

Los perfiles de configuración para habilitar este modo de compatibilidad en iOS 26, iPadOS 26, macOS Tahoe 26 y visionOS 26 usando un servicio de gestión de dispositivos están disponibles en la página de recursos AppleSeed for IT.