iOS 9.3、OS X 10.11.4 和 Server 5.1 中的 VPN 密钥交换增强功能

iOS 9.3、OS X 10.11.4 和 Server 5.1 新增了对全新 Diffie-Hellman 密钥交换组的支持，用以增强 VPN 连接的安全性。

这些版本在 L2TP over IPSec 中新增了对 Diffie-Hellman (DH) 组 14 和 5 的支持，并在 Cisco IPSec 中新增了对 Diffie-Hellman 组 14 的支持。受支持的全新密钥交换提议包括：

先前版本的 iOS、OS X 和 Server 仅支持对 L2TP over IPSec 使用 DH 组 2。先前版本的 iOS 还支持对 Cisco IPSec 使用 DH 组 5 和 2（DH 组 2 适用于主动模式）。

DH 组 2 仍受到支持，但在查找提议匹配项时，它的优先级最低。L2TP over IPSec 和 Cisco IPsec 现在均支持 DH 组 14、5、2（按优先顺序排列）。对于主动模式，VPN 客户端将首先使用 DH 组 14 进行尝试；如果失败，则将使用 DH 组 2 再次进行尝试。Apple 建议使用组 14 或组 5，因为它们提供的安全性要强于组 2，后者可能容易受到危害。