Klargjør nettverket for kvantesikker kryptering i TLS

Finn ut mer om kvantesikker kryptering i TLS og hvordan du kontrollerer om organisasjonens nettservere er klare.

I iOS 26, iPadOS 26, macOS Tahoe 26 og visionOS 26 vil TLS-beskyttede tilkoblinger automatisk kunngjøre støtte for hybrid, kvantesikker nøkkelutveksling i TLS 1.3. Dette gjør det mulig å forhandle om en kvantesikker nøkkelutvekslingsalgoritme med TLS 1.3-servere som støtter den, samtidig som det bidrar til å opprettholde kompatibilitet med servere som ennå ikke støtter denne nye algoritmen. Kvantesikker kryptering hindrer en angriper i å ta opp TLS-tilkoblingstrafikk og senere bruke en fremtidig kvantedatamaskin til å dekryptere innholdet.

ClientHello-meldingen fra enheter med iOS 26, iPadOS 26, macOS Tahoe 26 og visionOS 26 vil omfatte X25519MLKEM768 i supported_groups-utvidelsen (se registeret), sammen med en tilsvarende nøkkeldeling i key_share-utvidelsen. Servere kan velge X25519MLKEM768 hvis de støtter det, eller bruke en annen gruppe kunngjort i ClientHello-meldingen.

Kontroller om en nettserver støtter kvantesikker kryptering

Fra og med macOS Tahoe 26 kan du kontrollere om HTTPS-serveren din støtter nøkkelutvekslingsalgoritmen X25519MLKEM768 ved å bruke følgende kommando:

nscurl --tls-diagnostics https://test.example

Servere som støtter kvantesikker kryptering, returnerer følgende:

Forhandlet TLS-versjon (kodepunkt): 0x0304

Forhandlet TLS-nøkkelutvekslingsgruppe (navn): X25519MLKEM768

Forhandlet TLS-chiffersuite (kodepunkt): 0x1302

Servere som ikke støtter kvantesikker kryptering, vil velge andre støttede grupper under TLS-håndtrykket for å tillate enheter med iOS 26, iPadOS 26, macOS Tahoe 26 og visionOS 26 å koble seg til.

Feilsøking av tilkoblingsproblemer

Enheter med iOS 26, iPadOS 26, macOS Tahoe 26 og visionOS 26 kan mislykkes i å koble seg til enkelte eldre servere på grunn av en feil TLS-implementering som ikke klarer å lese store ClientHello-meldinger. Mer informasjon om dette serverproblemet er tilgjengelig her.

Hvis du må koble iOS 26, iPadOS 26, macOS Tahoe 26 og visionOS 26 til en server eller et nettverksapparat som er berørt av dette problemet, kan du først midlertidig aktivere en kompatibilitetsmodus som tillater tilkoblinger omprøving uten å kunngjøre støtte for kvantesikker kryptering. Merk at dette er en midlertidig kompatibilitetsmodus som ikke vil være tilgjengelig i en fremtidig versjon av iOS, iPadOS, macOS og visionOS.

Bruk følgende kommando for å aktivere denne kompatibilitetsmodusen på macOS Tahoe 26:

defaults write com.apple.network.tls AllowPQTLSFallback -bool true

Konfigurasjonsprofiler for å aktivere denne kompatibilitetsmodusen på iOS 26, iPadOS 26, macOS Tahoe 26 og visionOS 26 ved hjelp av en enhetsadministrasjonstjeneste er tilgjengelige på siden AppleSeed for IT-ressurser.