Préparer votre environnement réseau pour des exigences de sécurité plus strictes
Les systèmes d’exploitation Apple exigeront une sécurité réseau plus stricte pour les processus système. Vérifiez si vos connexions aux serveurs respectent les nouvelles exigences.
Cet article est destiné aux administrateurs informatiques et aux développeurs de services de gestion des appareils.
Dès la prochaine version majeure de ses logiciels, les systèmes d’exploitation d’Apple (iOS, iPadOS, macOS, watchOS, tvOS et visionOS) pourraient refuser les connexions aux serveurs dont les configurations TLS sont obsolètes ou non conformes en raison de nouvelles exigences de sécurité réseau.
Vous devez procéder à une vérification de votre environnement afin d’identifier les serveurs qui ne respectent pas ces exigences. La mise à jour des configurations des serveurs dans le cadre de ces exigences pourrait prendre beaucoup de temps, en particulier pour les serveurs gérés par des fournisseurs externes.
Connexions concernées et exigences de configuration
Les nouvelles exigences s’appliquent aux connexions réseau directement impliquées dans les activités suivantes :
Gestion des appareils mobiles (GAM)
Gestion déclarative des appareils (GDA)
Inscription automatisée des appareils
Installation de profils de configuration
Installation d’apps, y compris la distribution d’apps d’entreprise
Mises à jour logicielles
Exceptions : Les connexions réseau à un serveur SCEP (lors de l’installation d’un profil de configuration ou de la résolution d’un élément DDM) et aux serveurs de mise en cache de contenu ne sont pas affectées, même lors de la demande d’éléments liés à l’installation d’apps ou aux mises à jour logicielles.
Exigences : les serveurs doivent prendre en charge le protocole TLS 1.2 ou une version ultérieure, utiliser des suites de chiffrement conformes à l’ATS et présenter des certificats valides répondant aux normes d’ATS. Pour connaître l’ensemble des exigences en matière de sécurité réseau, consultez la documentation destinée aux développeurs :
Procéder à une vérification de votre environnement afin de détecter les connexions non conformes
Utilisez des appareils de test pour détecter les connexions au serveur de votre environnement qui ne respectent pas les nouvelles exigences TLS.
Planifier la couverture de vos tests
Différentes configurations d’appareils peuvent se connecter à différents serveurs. Pour assurer l’exhaustivité de votre vérification, testez toutes les configurations applicables à votre environnement.
Environnement : production, préproduction et test
Type d’appareil : iPhone, iPad, Mac, Apple Watch, Apple TV et Apple Vision Pro
Rôle : groupe d’utilisateurs (ventes, ingénierie, comptabilité), appareil kiosque et appareil partagé
Type d’inscription : inscription automatisée des appareils, inscription basée sur un compte, inscription basée sur un profil et iPad partagé
Répétez les étapes de vérification suivantes pour chaque configuration qui se connecte à différents serveurs.
Installer le profil de journalisation de diagnostic réseau
Téléchargez et installez le profil de journalisation des diagnostics réseau sur un appareil de test représentatif fonctionnant sous iOS 26.4, iPadOS 26.4, macOS 26.4, watchOS 26.4, tvOS 26.4 ou visionOS 26.4, ou une version ultérieure, afin d’activer la journalisation. Après avoir installé le profil, redémarrez votre appareil de test.
Pour vous assurer que les événements du journal contiennent les informations nécessaires à la détection des connexions non conformes, ce profil doit être installé avant de procéder aux tests. Si vous testez l’inscription automatisée des appareils sur un iPhone ou un iPad, utilisez Apple Configurator pour Mac afin d’installer le profil avant que l’appareil n’atteigne la sous-fenêtre Gestion des appareils de l’Assistant réglages.
Exécuter vos flux de travail habituels
Utilisez l’appareil de test comme vous le feriez normalement dans votre environnement. Enregistrez-le dans la gestion des appareils, installez des apps et des profils, et effectuez toutes les autres tâches nécessaires pour vous connecter aux serveurs de votre organisation.
L’objectif est de générer du trafic réseau vers tous les serveurs qui pourraient être affectés par les nouvelles exigences de TLS.
Récupérer un fichier sysdiagnose
Après avoir exécuté vos flux de travail, récupérez un fichier sysdiagnose sur l’appareil de test. Cette archive de diagnostic contient les événements de journal dont vous avez besoin pour identifier les connexions non conformes.
Instructions propres à chaque appareil pour la récupération d’un fichier sysdiagnose
Vérifier les journaux
Transférez le fichier sysdiagnose sur un Mac, puis ouvrez le fichier .tar.gz. Utilisez Terminal pour accéder au répertoire racine du fichier sysdiagnose décompressé, puis filtrez les événements de journal pertinents à l’aide de la commande suivante :
log show --archive system_logs.logarchive --info -P "p=appstoreagent|appstored|managedappdistributionagent|managedappdistributiond|ManagedClient|ManagedClientAgent|mdmclient|mdmd|mdmuserd|MuseBuddyApp|NanoSettings|Preferences|profiled|profiles|RemoteManagementAgent|remotemanagementd|Setup|'Setup Assistant'|'System Settings'|teslad|TVSettings|TVSetup|XPCAcmeService AND s=com.apple.network AND m:'ATS Violation'|'ATS FCPv2.1 violation'"
Chaque événement de journal comprend trois informations importantes :
Domaine : le domaine du serveur pour cet événement de connexion.
Processus : le processus qui a établi la connexion, ce qui vous aide à déterminer l’objectif de la connexion réseau à ce domaine.
Avertissement : la contrainte qui a été enfreinte par la connexion et les détails du problème de conformité du serveur (une seule connexion peut générer plusieurs avertissements si le serveur enfreint plusieurs exigences).
Interpréter les journaux d’alerte
Les messages de journal suivants indiquent les serveurs qui ne respectent pas les nouvelles exigences TLS. Les violations sont signalées comme des violations générales de la politique ATS (« Warning [ATS Violation] ») ou des violations de la norme FCP v2.1 (« Warning [ATS FCPv2.1 violation] »).
Si ces journaux sont générés par un processus connecté à un serveur propre à votre entreprise, ces serveurs doivent alors être mis à jour afin de respecter les nouvelles exigences.
Message de journal | Signification | Résolution |
|---|---|---|
Warning [ATS violation] : la suite de chiffrement ([suite de chiffrement négociée]) n’est pas proposée dans l’ATS négocié pour le serveur : www.example.com | Le serveur a négocié un ensemble de chiffrement sans PFS qui n’est pas proposé lorsque le client impose l’ATS. | Les serveurs doivent prendre en charge les suites de chiffrement PFS (toutes les suites de chiffrement TLS 1.3 et les suites de chiffrement TLS 1.2 utilisant ECDHE). |
Warning [ATS violation] : version TLS <1.2 négociée pour le serveur : www.example.com | Le serveur a négocié une version de TLS antérieure à TLS 1.2. Les versions TLS 1.0 et 1.1 sont obsolètes et ne sont déjà plus proposées par défaut. | Mettez à jour les serveurs afin qu’ils négocient le protocole TLS 1.3 dans la mesure du possible (au minimum TLS 1.2). |
Warning [ATS violation] : la condition de confiance du certificat ATS n’est pas satisfaite pour le serveur : www.example.com | Le certificat du serveur a échoué à l’évaluation de confiance par défaut, car il ne respectait pas les exigences minimales décrites ici. | Mettez à jour le certificat du serveur afin de respecter ces exigences. Si le certificat figure parmi les certificats d’ancrage du profil d’inscription automatique, aucune résolution n’est requise. |
Warning [ATS violation] : la taille de la clé RSA [n] bits est inférieure au minimum requis de 2048 bits pour le serveur : www.example.com | Le certificat du serveur a été signé à l’aide d’une clé RSA de moins de 2048 bits. | Mettez à jour le certificat du serveur afin de respecter ces exigences. |
Warning [ATS violation] : la taille de la clé ECDSA [n] bits est inférieure au minimum requis de 256 bits pour le serveur : www.example.com | Le certificat du serveur a été signé par une clé ECDSA de moins de 256 bits | |
Warning [ATS violation] : l’algorithme de hachage du certificat feuille (n) est inférieur à SHA-256 pour le serveur : www.example.com | Le certificat du serveur n’a pas utilisé un algorithme SHA-2 avec une longueur de résumé d’au moins 256 bits. | |
Warning [ATS violation] : le protocole TLS n’a pas été utilisé lors de l’établissement de la connexion avec le serveur : www.example.com | Le protocole HTTP en texte brut a été utilisé au lieu du protocole HTTPS. | Mettez à jour le serveur pour qu’il prenne en charge le protocole HTTPS. |
Warning [ATS FCPv2.1 violation] : l’algorithme de signature rsa_pkcs15_sha1 a été négocié par le serveur : www.example.com | Le serveur a choisi rsa_pkcs15_sha1 comme algorithme de signature. | Mettez à jour la configuration pour privilégier les algorithmes de signature modernes. |
Warning [ATS FCPv2.1 violation] : le certificat du serveur, signé à l’aide de l’algorithme de signature [algorithme de signature], n’est pas indiqué dans le message ClientHello du serveur : www.example.com | Le certificat du serveur a été signé à l’aide d’un algorithme de signature non annoncé dans le ClientHello. | Mettez à jour le certificat du serveur pour qu’il soit signé à l’aide d’un algorithme de signature qui possède un identifiant TLS et qui n’est pas rsa_pkcs15_sha1. |
Warning [ATS FCPv2.1 violation] : le protocole TLS 1.2 est négocié sans secret maître étendu (EMS) pour le serveur : www.example.com | Le serveur a négocié TLS 1.2 sans inclure l’extension du secret maître étendu (EMS). | Mettez à jour les serveurs pour qu’ils utilisent TLS 1.3 ou, à défaut, adaptez leur configuration TLS 1.2 pour négocier l’EMS. |
Valider chaque serveur individuellement
Après avoir identifié les serveurs non conformes lors de la vérification, vous pouvez les tester individuellement pour vérifier les violations ou confirmer que la résolution a été effectuée avec succès.
Exécutez la commande suivante, en remplaçant « https://example.com:8000 » par votre serveur ou votre terminal.
nscurl --ats-diagnostics https://example.com:8000/
Cette commande teste si le serveur respecte les exigences pour diverses combinaisons de politiques d’ATS. Recherchez le résultat du test à l’aide d’ATS avec le mode FCP_v2.1 activé :
Configurer les exigences de version du paquet TLS NIAP
---
FCP_v2.1
Result : PASS
---
Si le résultat est « PASS », le serveur respecte toutes les exigences.
En savoir plus sur la détection de la source des connexions bloquées
Résolution
Collaborez avec les propriétaires des serveurs concernés afin de mettre à jour leurs configurations TLS. Les propriétaires des serveurs peuvent être un service interne, votre service de gestion des appareils ou un fournisseur tiers.
Lorsque vous contactez le propriétaire d’un serveur pour remédier au problème, envoyez-lui cet article ainsi que les messages d’avertissement observés.
La résolution pourrait comprendre les mesures suivantes :
Mettre à jour les serveurs pour assurer la prise en charge du protocole TLS 1.2 ou d’une version ultérieure (TLS 1.3 est recommandé)
Les serveurs qui ne prennent en charge que le protocole TLS 1.2 doivent au minimum prendre en charge des algorithmes d’échange de clés qui fournissent une confidentialité parfaite à terme (ECDHE), des suites de chiffrement AEAD basées sur AES-GCM avec SHA-256, SHA-384 ou SHA-512, ainsi que l’extension de secret maître étendu (RFC 7627).
Mettez à jour les certificats en fonction des exigences d’ATS concernant la taille des clés, l’algorithme de signature et la validité.
Ressources supplémentaires
Communiquez avec votre gestionnaire de réussite client ou l’assistance AppleCare Enterprise pour obtenir de l’aide.