Préparer votre réseau au chiffrement quantique sécurisé via un protocole TLS

Apprenez-en davantage sur le chiffrement quantique sécurisé via un protocole TLS et découvrez comment vérifier la compatibilité avec les serveurs web de votre organisation.

Sous iOS 26, iPadOS 26, macOS Tahoe 26 et visionOS 26, les connexions protégées par le protocole TLS indiqueront automatiquement la prise en charge d’un échange de clés quantique hybride dans la version TLS 1.3. Cela permet la négociation d’un algorithme d’échange de clés quantique sécurisé avec des serveurs compatibles utilisant TLS 1.3, tout en assurant la compatibilité avec ceux qui ne prennent pas encore en charge ce nouvel algorithme. L’utilisation d’un chiffrement quantique sécurisé, également appelé « chiffrement post-quantique », permet d’empêcher un attaquant d’enregistrer le trafic de connexion TLS et d’utiliser plus tard un futur ordinateur quantique pour en déchiffrer le contenu.

Le message ClientHello sur les appareils exécutant iOS 26, iPadOS 26, macOS Tahoe 26 et visionOS 26 intégrera la clé X25519MLKEM768 dans l’extension supported_groups (consultez le registre), ainsi qu’un partage de clé associé dans l’extension key_share. Les serveurs peuvent sélectionner la clé X25519MLKEM768 si elle est prise en charge, ou utiliser un autre groupe annoncé dans le message ClientHello.

Vérifier la compatibilité d’un serveur web avec le chiffrement quantique sécurisé

À partir de macOS Tahoe 26, vous pouvez vérifier si votre serveur HTTPS prend en charge l’algorithme d’échange de clés X25519MLKEM768 en exécutant la commande suivante :

nscurl --tls-diagnostics https://test.example

Les serveurs prenant en charge le chiffrement quantique sécurisé renverront les informations suivantes :

Negotiated TLS version (codepoint): 0x0304

Negotiated TLS key exchange group (name): X25519MLKEM768

Negotiated TLS ciphersuite (codepoint): 0x1302

Les serveurs incompatibles avec le chiffrement quantique sécurisé sélectionneront d’autres groupes compatibles lors de la négociation TLS pour permettre aux appareils exécutant iOS 26, iPadOS 26, macOS Tahoe 26 et visionOS 26 de se connecter.

Résoudre les problèmes de connexion

Les appareils exécutant iOS 26, iPadOS 26, macOS Tahoe 26 et visionOS 26 peuvent ne pas se connecter à certains serveurs anciens en raison d’une mauvaise implémentation du protocole TLS qui ne parvient pas à lire les messages ClientHello volumineux. Pour en savoir plus sur ce problème de serveur, consultez cette page.

Si vous devez connecter un appareil exécutant iOS 26, iPadOS 26, macOS Tahoe 26 et visionOS 26 à un serveur ou à un appareil réseau concerné par ce problème avant qu’il ne soit résolu, vous pouvez activer temporairement un mode de compatibilité. Celui-ci permet d’effectuer de nouvelles tentatives de connexion sans indiquer la prise en charge du chiffrement quantique sécurisé. Notez qu’il s’agit d’un mode de compatibilité temporaire qui ne sera plus disponible dans les prochaines versions d’iOS, iPadOS, macOS et visionOS.

Utilisez la commande suivante pour activer ce mode de compatibilité sous macOS Tahoe 26 :

defaults write com.apple.network.tls AllowPQTLSFallback -bool true

Les profils de configuration permettant d’activer ce mode de compatibilité sous iOS 26, iPadOS 26, macOS Tahoe 26 et visionOS 26 à l’aide d’un service de gestion des appareils sont disponibles sur la page Ressources du programme AppleSeed pour les services informatiques.