Préparer votre réseau pour le chiffrement sécurisé contre les attaques quantiques dans TLS

Découvrez le chiffrement sécurisé contre les attaques quantiques dans TLS et la façon de vérifier si les serveurs Web de votre organisation sont prêts.

Sous iOS 26, iPadOS 26, macOS Tahoe 26 et visionOS 26, les connexions protégées par TLS annonceront automatiquement la compatibilité avec l’échange de clés hybride et sécurisé contre les attaques quantiques dans TLS 1.3. Cela permet de négocier un algorithme d’échange de clés sécurisé contre les attaques quantiques avec les serveurs TLS 1.3 qui sont compatibles, tout en contribuant à maintenir la compatibilité avec les serveurs qui ne sont pas encore compatibles avec ce nouvel algorithme. L’utilisation du chiffrement sécurisé contre les attaques quantiques, également appelé « chiffrement post-quantique », est conçue pour empêcher un attaquant d’enregistrer le trafic de connexion TLS et, plus tard, d’utiliser un éventuel ordinateur quantique pour déchiffrer le contenu.

Le message ClientHello des appareils iOS 26, iPadOS 26, macOS Tahoe 26 et visionOS 26 inclura X25519MLKEM768 dans l’extension supported_groups (voir le registre), ainsi qu’un partage de clés correspondant dans l’extension key_share. Les serveurs peuvent sélectionner X25519MLKEM768 s’ils sont compatibles ou utiliser un autre groupe annoncé dans le message ClientHello.

Vérifier si un serveur Web prend en charge le chiffrement sécurisé contre les attaques quantiques

À partir de macOS Tahoe 26, vous pouvez vérifier si votre serveur HTTPS est compatible avec l’algorithme d’échange de clés X25519MLKEM768 à l’aide de la commande suivante :

nscurl --tls-diagnostics https://test.example

Les serveurs compatibles avec le chiffrement sécurisé contre les attaques quantiques retourneront les éléments suivants :

Version TLS négociée (point de code) : 0x0304

Groupe d’échange de clés TLS négocié (nom) : X25519MLKEM768

Suite de chiffrement TLS négociée (point de code) : 0x1302

Les serveurs qui ne sont pas compatibles avec le chiffrement sécurisé contre les attaques quantiques sélectionneront d’autres groupes compatibles pendant la négociation TLS pour permettre aux appareils iOS 26, iPadOS 26, macOS Tahoe 26 et visionOS 26 de se connecter.

Dépanner les problèmes de connexion

Les appareils dotés d’iOS 26, d’iPadOS 26, de macOS Tahoe 26 et de visionOS 26 peuvent ne pas se connecter à certains anciens serveurs en raison d’une implémentation TLS incorrecte qui ne lit pas les messages ClientHello volumineux. De plus amples renseignements sur ce problème de serveur sont disponibles ici.

Si vous devez connecter iOS 26, iPadOS 26, macOS Tahoe 26 et visionOS 26 à un serveur ou à un appareil réseau touché par ce problème avant de le résoudre, vous pouvez temporairement activer un mode de compatibilité pour permettre aux connexions de réessayer sans annoncer la compatibilité avec le chiffrement sécurisé contre les attaques quantiques Notez qu’il s’agit d’un mode de compatibilité temporaire qui ne sera pas disponible dans une future version d’iOS, d’iPadOS, de macOS et de visionOS.

Utilisez la commande suivante pour activer ce mode de compatibilité sur macOS Tahoe 26 :

defaults write com.apple.network.tls AllowPQTLSFallback -bool true

Les profils de configuration permettant d’activer ce mode de compatibilité sous iOS 26, iPadOS 26, macOS Tahoe 26 et visionOS 26 à l’aide d’un service de gestion des appareils sont disponibles sur la page de ressources AppleSeed pour l’informatique.