Melhorias na substituição de chaves de VPN no iOS 9.3, OS X 10.11.4 e Server 5.1
O iOS 9.3, OS X 10.11.4 e Server 5.1 adicionam suporte para novos grupos de substituição de chaves Diffie-Hellman de modo a melhorar a segurança das ligações de VPN.
Estas versões adicionam suporte para o Grupo Diffie-Hellman (DH) 14 e 5 a L2TP over IPSec e o Grupo Diffie-Hellman 14 a Cisco IPSec. As novas propostas de substituição de chaves suportadas são:
Grupo DH | 14 | 14 | 14 | 14 | 5 | 5 | 5 |
Algoritmo de cifragem | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 | AES256 |
Algoritmo de indexações | SHA256 | SHA1 | MD5 | SHA512 | SHA256 | SHA1 | MD5 |
As versões anteriores de iOS, OS X e Server suportavam o Grupo DH 2 (apenas) para L2TP over IPSec. As versões anteriores de iOS também suportavam o Grupo DH 5 e 2 para Cisco IPSec, com o Grupo DH 2 no modo agressivo.
O Grupo DH 2 ainda é suportado mas tem a prioridade mais baixa quando é encontrada uma proposta correspondente. Tanto o L2TP over IPSec como o Cisco IPsec suportam atualmente os Grupos DH 14, 5, 2, por esta ordem de preferência. No modo agressivo, o cliente de VPN primeiro irá tentar o Grupo DH 14; se falhar, irá voltar a tentar com o Grupo DH 2. A Apple recomenda a utilização do Grupo 14 ou Grupo 5 uma vez que fornecem uma segurança mais forte do que o Grupo 2, que poderá tornar-se vulnerável.
