Để cải thiện bảo mật và hiệu năng, đang xóa hỗ trợ cho giao thức VPN IKEv2 khỏi ứng dụng macOS. Nếu hiện đang sử dụng IKEv2, cần chuyển sang giao thức VPN hiện đại trước khi thay đổi này có hiệu lực.

Việc triển khai IKEv2 gốc của Apple trên macOS đã là nguồn gốc của các lo ngại bảo mật kéo dài, bao gồm rò rỉ lưu lượng có thể làm lộ địa chỉ IP thực. Các giao thức VPN hiện đại mạnh mẽ, tinh gọn và an toàn — chẳng hạn như WireGuard®(cửa sổ mới) và giao thức Stealth riêng — mang lại hiệu năng tốt hơn và đảm bảo quyền riêng tư mạnh mẽ hơn.

Không còn lý do để tiếp tục hỗ trợ IKEv2 nữa, và từ lâu cũng đã ngừng làm như vậy trên tất cả các ứng dụng khác.

Nên dùng gì thay cho IKEv2

Thay vì IKEv2, có thể dùng:

  • Smart Protocol (mặc định): Để ứng dụng tự động chọn giao thức tốt nhất cho mạng. Đây là tùy chọn dễ nhất và được kích hoạt mặc định. Smart Protocol sẽ chuyển đổi thông minh giữa các giao thức và cổng khi cần.
  • WireGuard: Một giao thức nhanh, gọn nhẹ và an toàn, hiện là mặc định trên ứng dụng macOS. WireGuard mang lại hiệu năng tốt hơn đáng kể so với IKEv2, cùng lợi ích bổ sung là bảo mật xuất sắc.
  • Stealth: Giao thức làm rối tùy chỉnh này dựa trên WireGuard và được tạo đường hầm qua TLS. Stealth được thiết kế để vượt qua kiểm duyệt và kiểm tra gói sâu trong các môi trường mạng bị hạn chế.
Thay đổi giao thức VPN trên macOS

Tìm hiểu cách thay đổi giao thức VPN hoặc chọn Smart Protocol

Không thấy WireGuard hoặc Stealth là tùy chọn?

WireGuard và Stealth yêu cầu sử dụng phần mở rộng mạng macOS (được gọi là phần mở rộng hệ thống trên các phiên bản macOS cũ hơn). Nếu không thấy các giao thức này được liệt kê trong ứng dụng Proton VPN, rất có thể hệ thống chưa được kích hoạt. Đây là sự cố phổ biến, vì macOS chặn các phần mở rộng hệ thống của bên thứ ba theo mặc định như một biện pháp bảo mật và cần tự cho phép chúng theo cách thủ công.

Tìm hiểu cách cài đặt phần mở rộng mạng macOS

Phần mở rộng mạng macOS

Ai bị ảnh hưởng?

Bản cập nhật này ảnh hưởng đến tất cả những ai đang sử dụng giao thức IKEv2 trong ứng dụng Proton VPN trên macOS. Nếu chưa thay đổi giao thức VPN theo cách thủ công, rất có thể đã dùng WireGuard hoặc Smart Protocol và không cần làm gì cả.Để kiểm tra giao thức hiện tại, hãy mở ứng dụng Proton VPN và đi tới tab Cài đặtKết nốiGiao thức. Nếu hiển thị Smart, WireGuard, WireGuard (TCP) hoặc Stealth thì mọi thứ đã sẵn sàng.

Cần phải làm gì?

  • Nếu giao thức được đặt là Smart, WireGuard hoặc Stealth: Không cần làm gì. Đã sử dụng giao thức hiện đại rồi.
  • Nếu giao thức được đặt là IKEv2: Chuyển sang Smart Protocol hoặc WireGuard trong Cài đặt → Kết nối → Giao thức.
  • Kiểm tra hồ sơ kết nối: Nếu đã tạo hồ sơ kết nối VPN tùy chỉnh, chúng vẫn có thể đang dùng IKEv2 (ngay cả sau khi đã cập nhật giao thức mặc định). Hãy vào tab Hồ sơ, xem lại từng hồ sơ và chuyển mọi hồ sơ vẫn dùng IKEv2 sang Smart Protocol hoặc WireGuard.
An IKEv2 VPN profile

Khi nào cần thực hiện điều đó?

Sẽ bắt đầu xóa hỗ trợ IKEv2 khỏi máy chủ từ tháng 4 năm 2026. Toàn bộ quá trình sẽ không diễn ra chỉ sau một đêm (hỗ trợ cuối cùng sẽ kết thúc vào tháng 2 năm 2027), nhưng khả năng kết nối IKEv2 bị lỗi sẽ ngày càng tăng từ tháng 4 năm 2026 trở đi.

Vì sao thực hiện thay đổi này?

Ngoài các lo ngại bảo mật về việc triển khai IKEv2 của Apple, và thực tế là các giao thức hiện đại dựa trên WireGuard mang lại hiệu năng tốt hơn nhiều so với IKEv2, việc duy trì hỗ trợ IKEv2 gây ra những hệ quả tiêu cực cho tất cả người dùng.

IKEv2 hoạt động trên các cổng cố định, phổ biến (UDP 500 và 4500) rất dễ bị quét. Các quốc gia kiểm duyệt internet (như Trung Quốc, Nga và Myanmar) chủ động dò các cổng này để phát hiện và gắn cờ các địa chỉ IP của máy chủ VPN.

Sau khi bị gắn cờ, các địa chỉ IP này sẽ được thêm vào các cơ sở dữ liệu thương mại (“danh sách đen”) mà các trang web, dịch vụ phát trực tuyến và nền tảng trực tuyến khác dùng để chặn truy cập hoặc hiển thị CAPTCHA cho bất kỳ ai kết nối từ những địa chỉ đó.

Điều này ảnh hưởng đến mọi người trong cộng đồng Proton VPN sử dụng các máy chủ này, không chỉ riêng những người dùng IKEv2. Bằng cách đóng các cổng này, máy chủ sẽ khó bị lấy dấu vân tay hơn đáng kể và giảm khả năng các địa chỉ IP bị gắn cờ. Kết quả là mang lại trải nghiệm duyệt web tốt hơn cho tất cả mọi người.

Việc xóa IKEv2 khỏi ứng dụng macOS cho phép:

  • Cải thiện bảo mật: Việc triển khai IKEv2 của Apple có các lỗ hổng đã biết nằm ngoài khả năng khắc phục. Bằng cách chuyển sang các giao thức do chính chúng tôi quản lý hoàn toàn, có thể bảo vệ quyền riêng tư tốt hơn.
  • Giảm độ phức tạp: Hỗ trợ ít giao thức hơn đồng nghĩa với ứng dụng tinh gọn hơn, đáng tin cậy hơn và có ít điểm lỗi tiềm ẩn hơn.
  • Tăng tốc phát triển: Bộ mã nguồn đơn giản hơn giúp phát hành các tính năng và cải tiến mới nhanh hơn.
  • Mang lại hiệu năng tốt hơn: WireGuard và Stealth là các giao thức hiện đại được xây dựng từ đầu để nhanh và hiệu quả, cung cấp tốc độ cao hơn rõ rệt và ít hao pin hơn IKEv2.

Trải nghiệm VPN tốt hơn, nhanh hơn

WireGuard nhanh hơn, tiết kiệm pin hơn và kết nối lại nhanh hơn IKEv2 — đặc biệt khi chuyển đổi giữa Wi-Fi và mạng di động. Kết hợp với khả năng dò mạng tự động của Smart Protocol, sẽ luôn có được kết nối tốt nhất có thể mà không cần phải nghĩ đến việc chọn giao thức.

Nếu kết nối tới Proton VPN từ môi trường bị kiểm duyệt, Stealth cung cấp khả năng làm rối mạnh mẽ mà IKEv2 hoàn toàn không có. Thay đổi này sẽ mang lại trải nghiệm VPN tốt hơn cho tất cả thành viên cộng đồng macOS.