เตรียมเครือข่ายของคุณให้พร้อมสำหรับการเข้ารหัสแบบ Quantum-secure ใน TLS

เรียนรู้เกี่ยวกับการเข้ารหัสแบบ Quantum-secure ใน TLS และวิธีตรวจสอบว่าเว็บเซิร์ฟเวอร์ขององค์กรคุณพร้อมใช้งานหรือไม่

ใน iOS 26, iPadOS 26, macOS Tahoe 26 และ visionOS 26 การเชื่อมต่อที่เข้ารหัสด้วย TLS จะประกาศแจ้งการรองรับการแลกเปลี่ยนคีย์ Quantum-secure แบบไฮบริดโดยอัตโนมัติใน TLS 1.3 ซึ่งการประกาศแจ้งนี้จะช่วยให้อุปกรณ์สามารถเจรจาเพื่อใช้อัลกอริทึมการแลกเปลี่ยนคีย์ Quantum-secure กับเซิร์ฟเวอร์ TLS 1.3 ที่รองรับได้ โดยยังคงใช้งานร่วมกับเซิร์ฟเวอร์ที่ยังไม่รองรับอัลกอริทึมใหม่นี้ได้เช่นเดิม การเข้ารหัสแบบ Quantum-secure หรือที่เรียกว่า "การเข้ารหัสหลังยุคควอนตัม" ออกแบบมาเพื่อป้องกันไม่ให้ผู้โจมตีบันทึกการรับส่งข้อมูลผ่านการเชื่อมต่อ TLS เก็บไว้เพื่อนำมาถอดรหัสข้อมูลภายหลังโดยใช้คอมพิวเตอร์ควอนตัมในอนาคต

ข้อความ ClientHello จากอุปกรณ์ iOS 26, iPadOS 26, macOS Tahoe 26 และ visionOS 26 จะมี X25519MLKEM768 ในส่วนขยาย supported_groups (ดูรีจิสทรี) รวมถึงคีย์แชร์ที่ตรงกันในส่วนขยาย key_share โดยเซิร์ฟเวอร์สามารถเลือก X25519MLKEM768 หากรองรับ หรือใช้กลุ่มอื่นที่ประกาศแจ้งในข้อความ ClientHello

ตรวจสอบว่าเว็บเซิร์ฟเวอร์รองรับการเข้ารหัสแบบ Quantum-secure หรือไม่

เริ่มตั้งแต่ macOS Tahoe 26 เป็นต้นมา คุณสามารถตรวจสอบว่าเซิร์ฟเวอร์ HTTPS ของคุณรองรับอัลกอริทึมการแลกเปลี่ยนคีย์ X25519MLKEM768 หรือไม่โดยใช้คำสั่งต่อไปนี้

nscurl --tls-diagnostics https://test.example

เซิร์ฟเวอร์ที่รองรับการเข้ารหัสแบบ Quantum-secure จะส่งข้อมูลต่อไปนี้กลับมา

เวอร์ชั่นของ TLS ที่เจรจาได้ (โค้ดพอยต์): 0x0304

กลุ่มการแลกเปลี่ยนคีย์ TLS ที่เจรจาได้ (ชื่อ): X25519MLKEM768

ชุดไซเฟอร์ของ TLS ที่เจรจาได้ (โค้ดพอยต์): 0x1302

เซิร์ฟเวอร์ที่ไม่รองรับการเข้ารหัสแบบ Quantum-secure จะเลือกกลุ่มอื่นๆ ที่รองรับระหว่างการแฮนด์เชคกับ TLS เพื่อให้อุปกรณ์ iOS 26, iPadOS 26, macOS Tahoe 26 และ visionOS 26 เชื่อมต่อได้

แก้ไขปัญหาการเชื่อมต่อ

อุปกรณ์ที่ใช้ iOS 26, iPadOS 26, macOS Tahoe 26 และ visionOS 26 อาจไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์รุ่นเก่าบางเครื่องได้เนื่องมาจากการติดตั้งใช้งาน TLS ที่ไม่ถูกต้อง จึงไม่สามารถอ่านข้อความ ClientHello ขนาดใหญ่ได้ ดูข้อมูลเพิ่มเติมเกี่ยวกับปัญหาเซิร์ฟเวอร์นี้ได้ที่นี่

หากคุณต้องการเชื่อมต่อ iOS 26, iPadOS 26, macOS Tahoe 26 และ visionOS 26 กับเซิร์ฟเวอร์หรืออุปกรณ์เครือข่ายที่ได้รับผลกระทบจากปัญหานี้ก่อนที่จะแก้ไขปัญหา คุณสามารถเปิดใช้งานโหมดความเข้ากันได้เป็นการชั่วคราวเพื่ออนุญาตให้อุปกรณ์พยายามเชื่อมต่อใหม่ได้โดยไม่ประกาศแจ้งว่ารองรับการเข้ารหัสแบบ Quantum-secure ทั้งนี้โปรดทราบว่า iOS, iPadOS, macOS และ visionOS เวอร์ชั่นในอนาคตจะไม่มีโหมดความเข้ากันได้แบบชั่วคราวนี้

ใช้คำสั่งต่อไปนี้เพื่อเปิดใช้งานโหมดความเข้ากันได้บน macOS Tahoe 26

defaults write com.apple.network.tls AllowPQTLSFallback -bool true

โปรไฟล์การกำหนดค่าสำหรับเปิดใช้งานโหมดความเข้ากันได้บน iOS 26, iPadOS 26, macOS Tahoe 26 และ visionOS 26 โดยใช้บริการจัดการอุปกรณ์มีอยู่ในหน้า Resources ของ AppleSeed สำหรับ IT