Mit der finalen Bekanntgabe von RFC 9964, vormals draft-ietf-cose-dilithium, sind ML-DSA-Serialisierungen für JOSE und COSE jetzt da. Damit stellt sich die Frage, ob Leaf-Zertifikate in den aktuellen Scan-Daten Aufschluss über klassische Signaturen geben. In einer Stichprobe von 103K Zertifikaten mit erfasstem Signaturalgorithmus war noch keines ML-DSA oder SLH-DSA. RSA signiert etwa vier von fünf davon, allein SHA256-RSA macht 80K aus, und ECDSA deckt den Rest ab.
| Signaturalgorithmus | Schlüsseltyp | Zertifikate |
|---|---|---|
| SHA256-RSA | RSA | 80K |
| ECDSA-SHA384 | ECDSA | 10K |
| ECDSA-SHA256 | ECDSA | 10K |
| SHA384-RSA | RSA | 1,5K |
| SHA512-RSA | RSA | 1,5K |
| ML-DSA / SLH-DSA | Post-Quantum | NULL |
Mit der Finalisierung der Spezifikationen sollte sich das alles ändern. RFC 9881, veröffentlicht im Oktober 2025, definiert die X.509-Algorithmus-Kennungen, mit denen eine Zertifizierungsstelle ein ML-DSA-Zertifikat ausstellen würde. RFC 9964 definiert ML-DSA-Serialisierungen für JOSE und COSE, also die Token-Schicht hinter JWTs und die COSE-Objekte in eingeschränkten Geräten und in der Supply-Chain-Attestierung. Der Weg von klassischen Zertifikaten zu Post-Quantum ist jetzt durchgängig spezifiziert. Zertifikate sollten bereits Adoption zeigen.
Die Lücke zum Schlüsselaustausch
Der Schlüsselaustausch ist der Authentifizierung vorausgewandert, weil Harvest-Now-Decrypt-Later eine aufgezeichnete Sitzung an dem Tag entschlüsselbar macht, an dem ein leistungsfähiger Quantencomputer einsatzbereit ist. Damit hat der Schlüsselaufbau Dringlichkeit im Hier und Jetzt. Eine Signatur lässt sich nicht rückwirkend gegen bereits gesendeten Datenverkehr fälschen, der Druck zum Austausch ist also nicht derselbe. Der Blick auf einen großen Datensatz zeigt, was als Nächstes in Bewegung kommen wird. Die CDN-Anbieter zeigen die Trennung deutlich.
Ein Scan von drei dieser Anbieter heute handelte X25519MLKEM768 aus, den hybriden Post-Quantum-Schlüsselaustausch, den wir gerne sehen, und präsentierte dann Leaf-Zertifikate, die ohne ML-DSA signiert sind.
| akamai.com | cloudflare.com | fastly.com | |
|---|---|---|---|
| Chiffre | AES-256-GCM | AES-128-GCM | AES-128-GCM |
| Note | A (100/100) | F (0/100) | A (100/100) |
| Schlüsselaustausch | X25519MLKEM768 | X25519MLKEM768 | X25519MLKEM768 |
| Leaf-Signatur | ECDSA-SHA384 | ECDSA-SHA256 | SHA256-RSA |
| Legacy TLS 1.0/1.1 | abgelehnt | akzeptiert | abgelehnt |
| Ausgehandelte Version | TLS 1.3 | TLS 1.3 | TLS 1.3 |
Ein Handshake, hybrider Schlüsselaustausch, und trotzdem eine klassische Signatur. Die Edge ist der Anbieterbereich, der im Schlüsselaustausch am weitesten ist, weil sie die Infrastruktur hinter den hohen client-seitigen Adoption-Zahlen bildet. Und wir sehen deutlich, dass sich die Zertifikatssignatur nicht bewegt hat. Die KEM-Seite hat einen trügerischen Boden, den frühere Messungen dokumentiert haben, und jetzt halten wir Ausschau nach demselben Muster auf der Signaturseite. Das Internet hat mehr als null verdient.
Leaf-Zertifikate kommen zuerst
Leafs rotieren in kurzen Zyklen, üblicherweise neunzig Tage, und die Branche verkürzt sie weiter in Richtung 47 Tage. Ein Host, der Post-Quantum-Signaturen einführt, würde die Änderung am Leaf zeigen, lange bevor sich an den langlebigen Zwischen- oder Root-Zertifikaten etwas bewegt. Das macht das Leaf zu unserem führenden Kandidaten, und bisher sehen wir ausnahmslos klassische Signaturen. Die Lesung erfasst ausschließlich das Leaf, entnommen aus dem ersten Zertifikat der präsentierten Kette, beschreibt also die Signatur, die ein Host für sich selbst präsentiert, und nicht die Algorithmen, die seine Zertifizierungsstellen weiter oben in der Kette verwenden. Wo die Agilität am höchsten ist, lohnt der Blick zuerst.
Größe ist entscheidend
Die Kosten einer Post-Quantum-Signatur sind konkret und groß. Ein ML-DSA-65-Ketteneintrag belegt 5.261 Bytes gegenüber 550 für RSA-2048 und 163 für ECDSA-P256, und eine Kette mit zwei Signaturen überschreitet zehn Kilobyte an Authentifizierungsdaten, während eine klassische Kette wenige hundert Bytes trug. Dieses Gewicht treibt einen Server-Flight über das IW10-Congestion-Window und das QUIC-Anti-Amplification-Limit hinaus, der Netzwerk-Aufwand, den die Größen-Referenz im Detail behandelt. Die Migration des Schlüsselaustauschs hat das größtenteils umgangen, weil ihre Byte-Kosten ein Bruchteil der Signaturkosten sind. Die Signaturschicht kann das nicht umgehen, und die Reibung erklärt, warum der spezifizierte Pfad und die ausgerollte Realität noch weit auseinander liegen. Der Handshake-Größenrechner bemisst eine konkrete KEM-Signatur-Kombination gegen diese Grenzen für einen bestimmten Stack.
Methodik
pqprobe analysiert das Leaf-Zertifikat jedes TLS-Handshakes und schreibt Signaturalgorithmus, Schlüsseltyp und Schlüsselgröße in den Scan-Datensatz. Um die Verteilung gegen eine eigene Host-Population zu reproduzieren, scannen und das Zertifikatsinventar exportieren:
$ pqprobe scan example.com:443
$ pqprobe probe example.com # DNS-Fan-Out über eine Domain
$ pqprobe export-certificates certs.csvDie CSV-Datei enthält eine Zeile pro Zertifikat. Gruppieren Sie die Spalte Signature Algorithm in Ihrer Tabellenkalkulation oder Ihrem CSV-Tool der Wahl, um die Verteilung zu reproduzieren; filtern Sie dieselbe Spalte nach ML-DSA oder SLH-DSA, um die Null zu reproduzieren.
Der Signaturalgorithmus liegt für etwa 90 Prozent der 103K Stichprobensätze vor. Die letzten zehn Prozent sind Scans, bei denen kein Zertifikat geparst wurde, etwa Sondierungen von Nicht-TLS-Protokollen. Die Post-Quantum-Prüfung steht zum Zeitpunkt dieses Textes bei null.
Die Spezifikationen für Post-Quantum-Signaturen wurden im Lauf von nur einem halben Jahr abgeschlossen. Die Zertifikate, die wir sehen, haben noch nicht begonnen, sie zu verwenden, und alle Augen sollten jetzt auf das Leaf gerichtet sein, den ersten Ort, an dem sich diese Änderung zeigen wird.