Verbeteringen in de VPN-sleuteluitwisseling in iOS 9.3, OS X 10.11.4 en Server 5.1
iOS 9.3, OS X 10.11.4 en Server 5.1 ondersteunen nu nieuwe Diffie-Hellman-sleuteluitwisselingsgroepen. Hierdoor wordt de beveiliging van VPN-verbindingen verhoogd.
Deze releases ondersteunen nu Diffie-Hellman (DH) Groep 14 en 5 voor L2TP over IPSec, en Diffie-Hellman Groep 14 voor Cisco IPSec. De nieuwe ondersteunde sleuteluitwisselingsvoorstellen zijn:
DH Groep | 14 | 14 | 14 | 14 | 5 | 5 | 5 |
Encryptiealgoritme | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 |
Hash-algoritme | SHA256 | SHA1 | MD5 | SHA512 | SHA256 | SHA1 | MD5 |
Eerdere versies van iOS, OS X en Server ondersteunden alleen DH Groep 2 voor L2TP over IPSec. Eerdere versies van iOS ondersteunden ook DH Groep 5 en 2 voor Cisco IPSec, waarbij DH Groep 2 werd gehanteerd voor de agressieve modus.
DH Groep 2 wordt nog wel ondersteund, maar heeft de laagste prioriteit bij het zoeken naar een overeenkomend voorstel. L2TP over IPSec en Cisco IPSec ondersteunen nu beide DH Groep 14, 5 en 2, in die volgorde van voorkeur. Voor de agressieve modus probeert de VPN-client als eerste DH Groep 14; als dit niet lukt, probeert de client het opnieuw met DH Groep 2. Apple adviseert het gebruik van Groep 14 of Groep 5, aangezien deze een sterkere beveiliging bieden dan Groep 2, die mogelijk onveilig is.