Je netwerk voorbereiden voor kwantumbestendige encryptie in TLS

Lees over kwantumbestendige encryptie in TLS en hoe je kunt controleren of de webservers van jouw organisatie hier klaar voor zijn.

In iOS 26, iPadOS 26, macOS Tahoe 26 en visionOS 26 adverteren met TLS beveiligde verbindingen automatisch ondersteuning voor hybride, kwantumbestendige sleuteluitwisseling in TLS 1.3. Dit maakt bemiddeling van een kwantumbestendig sleuteluitwisselingsalgoritme mogelijk met TLS 1.3-servers die hier ondersteuning voor bieden, terwijl er ook voor wordt gezorgd dat de compatibiliteit behouden blijft voor servers die nog geen ondersteuning bieden voor dit nieuwe algoritme. Het gebruik van kwantumbestendige encryptie, ook wel ‘post-kwantumencryptie’ genoemd, is bedoeld om te voorkomen dat een aanvaller TLS-verbindingsverkeer vastlegt en op een later moment een kwantumcomputer gebruikt om de inhoud te ontsleutelen.

Het ClientHello-bericht van apparaten met iOS 26, iPadOS 26, macOS Tahoe 26 en visionOS 26 bevat X25519MLKEM768 in the supported_groups-extensie (raadpleeg het register), samen met een bijbehorende key share in de key_share-extensie. Servers kunnen X25519MLKEM768 selecteren als ze hier ondersteuning voor bieden. Ze kunnen ook een andere groep gebruiken die wordt geadverteerd in het ClientHello-bericht.

Controleren of een webserver ondersteuning biedt voor kwantumbestendige encryptie

Vanaf macOS Tahoe 26 kun je met het volgende commando controleren of je HTTPS-server ondersteuning biedt voor het X25519MLKEM768-sleuteluitwisselingsalgoritme:

nscurl --tls-diagnostics https://test.example

Servers die ondersteuning bieden voor kwantumbestendige encryptie, retourneren het volgende:

Negotiated TLS version (codepoint): 0x0304

Negotiated TLS key exchange group (name): X25519MLKEM768

Negotiated TLS ciphersuite (codepoint): 0x1302

Servers die geen ondersteuning bieden voor kwantumbestendige encryptie, selecteren andere ondersteunde groepen tijdens de TLS-handshake om apparaten met iOS 26, iPadOS 26, macOS Tahoe 26 en visionOS 26 verbinding te laten maken.

Verbindingsproblemen oplossen

Apparaten met iOS 26, iPadOS 26, macOS Tahoe 26 en visionOS 26 kunnen mogelijk geen verbinding maken met sommige verouderde servers vanwege een onjuiste TLS-implementatie waarmee grote ClientHello-berichten niet kunnen worden gelezen. Meer informatie over dit serverprobleem is hier beschikbaar.

Het kan voorkomen dat je in iOS 26, iPadOS 26, macOS Tahoe 26 en visionOS 26 verbinding wilt maken met een door dit probleem getroffen server of netwerkapparaat voordat je het probleem kunt verhelpen. In dat geval kun je tijdelijk een compatibiliteitsmodus inschakelen om verbindingen toe te staan om het opnieuw te proberen zonder ondersteuning voor kwantumbestendige encryptie te adverteren. Dit is een tijdelijke compatibiliteitsmodus die niet meer beschikbaar zal zijn in een toekomstige versie van iOS, iPadOS, macOS en visionOS.

Gebruik het volgende commando om deze compatibiliteitsmodus in te schakelen in macOS Tahoe 26:

defaults write com.apple.network.tls AllowPQTLSFallback -bool true

Configuratieprofielen om deze compatibiliteitsmodus in te schakelen in iOS 26, iPadOS 26, macOS Tahoe 26 en visionOS 26 met behulp van een apparaatbeheerservice, zijn beschikbaar op de bronnenpagina van AppleSeed voor IT.