Alle SSL-Artikel SSL & Zertifikate

Post-Quantum-TLS: Was quantensicheres HTTPS 2026 bedeutet

Post-Quantum-TLS ist HTTPS, das selbst gegen einen Angreifer mit einem großen Quantencomputer sicher bleibt. Es ersetzt die Mathematik hinter dem heutigen Schlüsselaustausch — die ein Quantencomputer brechen könnte — durch Algorithmen, die so konzipiert sind, dass sie Quantenangriffen standhalten.

Das ist kein fernes Forschungsprojekt. Mitte 2026 sind bereits über 65 % des menschlichen Web-Traffics über Cloudflare post-quantum-verschlüsselt, und Chrome, Edge und Firefox handeln standardmäßig einen quantensicheren Schlüsselaustausch aus, sobald der Server ihn unterstützt. Wenn Sie kürzlich mit einem modernen Browser Google besucht haben, haben Sie mit ziemlicher Sicherheit Post-Quantum-TLS genutzt, ohne es zu bemerken.

Warum klassisches TLS gefährdet ist

Heutiges TLS beruht auf zwei Arten von Public-Key-Mathematik:

  • Schlüsselaustausch (ECDHE, mit X25519 oder P-256) — einigt sich über einen offenen Kanal auf ein gemeinsames Geheimnis.
  • Signaturen (RSA, ECDSA) — weist nach, dass das Zertifikat authentisch ist.

Beide hängen von Problemen ab, die für klassische Computer schwer sind — die Faktorisierung großer Zahlen (RSA) und der diskrete Logarithmus auf elliptischen Kurven (ECC). Shors Algorithmus, ausgeführt auf einem ausreichend großen Quantencomputer, löst beide effizient. Ein „kryptografisch relevanter Quantencomputer“ (CRQC) existiert noch nicht, aber das Feld bewegt sich schnell genug, dass sich die Planung von „ob“ zu „wann“ verschoben hat.

Public-Key-Kryptografie → erklärt die zugrunde liegende Mathematik, die Quantencomputer bedrohen.

„Harvest now, decrypt later“ — warum das schon heute dringend ist

Sie könnten denken, es habe keine Eile: Kein Quantencomputer kann TLS heute brechen — warum also jetzt umsteigen?

Die Bedrohung lautet harvest now, decrypt later (HNDL) — also „jetzt ernten, später entschlüsseln“. Ein Angreifer zeichnet Ihren verschlüsselten Traffic heute auf und speichert ihn. Sobald ein Quantencomputer verfügbar wird — möglicherweise in den 2030er-Jahren — entschlüsselt er den gespeicherten Traffic rückwirkend.

Dadurch liegt die Frist für den Schlüsselaustausch deutlich vor dem Eintreffen von Quantencomputern. Alle Daten mit einer langen Vertraulichkeitsdauer — Gesundheitsdaten, Finanzdaten, Staatsgeheimnisse, Quellcode, Zugangsdaten — benötigen jetzt quantensichere Verschlüsselung, denn die Aufzeichnung findet bereits statt.

Der Schlüsselaustausch ist dringend. Signaturen sind es weniger. Sie können eine Signatur auf bereits erfolgtem Traffic nicht rückwirkend fälschen — eine Signatur muss nur bevor Quantencomputer existieren quantensicher sein, nicht früher. Deshalb hat die Branche den Post-Quantum-Schlüsselaustausch zuerst ausgerollt.

Die Standards: ML-KEM und ML-DSA

Im August 2024 veröffentlichte NIST die ersten finalisierten Post-Quantum-Standards:

StandardNameRolleErsetzt
FIPS 203ML-KEM (früher Kyber)Schlüsselkapselung (Schlüsselaustausch)ECDHE- / RSA-Schlüsselaustausch
FIPS 204ML-DSA (früher Dilithium)Digitale SignaturenRSA- / ECDSA-Signaturen
FIPS 205SLH-DSA (SPHINCS+)Hash-basierte SignaturenKonservatives Signatur-Backup

ML-KEM (Module-Lattice Key Encapsulation Mechanism) ist der Mechanismus, der bereits in TLS ausgerollt ist. Er kommt in drei Größen: ML-KEM-512, ML-KEM-768 und ML-KEM-1024. ML-KEM-768 ist der ideale Mittelweg, der im Web verwendet wird.

Hybrider Schlüsselaustausch: X25519MLKEM768

Browser verwerfen die klassische Kryptografie nicht über Nacht und stellen auf reines Post-Quantum um. Das wäre leichtsinnig — ML-KEM ist neu, und ein Fehler könnte alles brechen. Stattdessen verwendet TLS 1.3 einen hybriden Schlüsselaustausch, der einen klassischen und einen Post-Quantum-Algorithmus kombiniert.

Die benannte Gruppe, die Ihnen 2026 begegnet, ist X25519MLKEM768:

X25519MLKEM768 = X25519 (classical ECDHE)  +  ML-KEM-768 (post-quantum)

Die beiden gemeinsamen Geheimnisse werden aneinandergehängt (32 bytes aus X25519 + 32 bytes aus ML-KEM = ein kombiniertes Geheimnis von 64 bytes) und in den TLS-Schlüsselplan (Key Schedule) eingespeist.

Die Sicherheitsgarantie lautet „sicher, solange eines von beiden hält“. Ein Angreifer muss sowohl X25519 als auch ML-KEM-768 brechen, um den Sitzungsschlüssel wiederherzustellen. Also:

  • Sollte sich herausstellen, dass ML-KEM-768 einen Fehler hat → schützt X25519 Sie weiterhin (gegen klassische Angreifer).
  • Sollte ein Quantencomputer X25519 brechen → schützt ML-KEM-768 Sie weiterhin.

Dieses doppelt abgesicherte Design ist der Grund, warum Hybrid überall der Standard ist und nicht reines Post-Quantum.

Wo es im Handshake eingefügt wird

Der hybride Schlüsselaustausch verwendet denselben TLS-1.3-Handshake, der unter Was ist TLS 1.3 → beschrieben wird. Der einzige Unterschied ist der key_share: Das ClientHello trägt einen X25519MLKEM768-Key-Share statt eines einfachen X25519-Key-Shares. ML-KEM-Schlüssel sind größer (~1.2 KB gegenüber 32 bytes), sodass das ClientHello um etwa ein Kilobyte wächst — meist vernachlässigbar, kann jedoch in eingeschränkten Netzwerken gelegentlich über Paketgrenzen hinaus reichen.

Es bietet Ihnen außerdem weiterhin Forward Secrecy →: ein frisches Schlüsselpaar pro Verbindung, in der Post-Quantum-Edition.

Was 2026 bereits ausgerollt ist

KomponentePost-Quantum-Status (Mitte 2026)
Chrome / EdgeX25519MLKEM768 standardmäßig ausgehandelt
FirefoxX25519MLKEM768 unterstützt und aktiviert
Cloudflare65 %+ des menschlichen Traffics PQ-verschlüsselt; Schlüsselaustausch abgeschlossen
GoogleLiefert Post-Quantum-Schlüsselaustausch aus
AWSML-KEM in KMS, ACM, Secrets Manager; legacy Kyber wird 2026 abgekündigt
OpenSSL 3.5+Native Unterstützung für ML-KEM und X25519MLKEM768
Java (SunJSSE)X25519MLKEM768 standardmäßig aktiviert

Der Baustein, der noch nicht im großen Maßstab umgesetzt ist, sind Post-Quantum-Zertifikate — also das Signieren von Zertifikaten mit ML-DSA statt RSA/ECDSA. ML-DSA-Signaturen und öffentliche Schlüssel sind weitaus größer (Kilobyte gegenüber ~64 bytes), was den Handshake aufbläht und die Größenbeschränkungen von Zertifikatsketten belastet. Cloudflare plant ML-DSA auf Origin-Verbindungen bis Mitte 2026 und erprobt Merkle Tree Certificates, um die Größe handhabbar zu halten, mit dem Ziel, bis 2029 vollständig post-quantum-fähig zu sein (einschließlich Authentifizierung).

So prüfen Sie, ob Sie Post-Quantum-TLS verwenden

Im Browser

Öffnen Sie eine beliebige große Website in Chrome → DevTools → Reiter Security → sehen Sie sich die Verbindungsdetails an. Eine Post-Quantum-Verbindung zeigt einen Schlüsselaustausch wie X25519MLKEM768 (oder X25519Kyber768 bei älteren Builds).

Mit OpenSSL 3.5+

openssl s_client -connect cloudflare.com:443 -groups X25519MLKEM768 2>/dev/null   | grep -i "Negotiated TLS1.3 group"
# Erwartet: Negotiated TLS1.3 group: X25519MLKEM768

Wenn Sie einen Fehler oder eine andere Gruppe erhalten, ist entweder Ihr OpenSSL älter als 3.5, oder der Server bietet noch keinen Post-Quantum-Schlüsselaustausch an.

Prüfen Sie Ihre OpenSSL-Version

openssl version
# Benötigt: OpenSSL 3.5+ für natives X25519MLKEM768

So aktivieren Sie es auf Ihrem Server

Für die meisten Websites lautet die Antwort aktualisieren und nicht deaktivieren — der hybride Post-Quantum-Schlüsselaustausch wird automatisch aktiviert, sobald Ihr Stack ihn unterstützt.

Nginx / Apache

Der Post-Quantum-Schlüsselaustausch lebt in Ihrer TLS-Bibliothek, nicht in der Webserver-Konfiguration. Bauen oder betreiben Sie Ihren Server gegen OpenSSL 3.5+ (oder BoringSSL mit ML-KEM). Sobald die Bibliothek eingebunden ist, wird X25519MLKEM768 automatisch neben X25519 angeboten — keine neue Direktive erforderlich. Pinnen Sie ssl_ecdh_curve nicht auf eine einzelne klassische Kurve, sonst schließen Sie die Hybrid-Gruppe aus.

Hinter einem CDN

Der einfachste Weg: Stellen Sie Ihre Website hinter Cloudflare (oder ein anderes PQC-fähiges CDN). Die Verbindung vom Browser zum Edge wird sofort post-quantum-fähig, ohne Änderungen an Ihrem Origin. Auf diese Weise wurde der Großteil jener 65 % des Traffics quantensicher — die Betreiber haben ihre Origin-Server überhaupt nicht angefasst.

Ihr Zertifikat ändert sich noch nicht

Sie benötigen für den Post-Quantum-Schlüsselaustausch kein neues Zertifikat. Ihr bestehendes RSA- oder ECC-Zertifikat funktioniert einwandfrei — der hybride Schlüsselaustausch schützt die Sitzung, während das Zertifikat vorerst weiterhin klassische Signaturen verwendet. Post-Quantum-Zertifikate (ML-DSA) sind eine separate, spätere Migration.

Häufig gestellte Fragen

Muss ich ein spezielles „quantensicheres Zertifikat“ kaufen?

Nein. Der Post-Quantum-Schlüsselaustausch (der dringende Teil) berührt Ihr Zertifikat überhaupt nicht — Ihr aktuelles RSA-/ECC-Zertifikat funktioniert weiterhin. Wer Ihnen heute ein „quantensicheres SSL-Zertifikat“ verkauft, betreibt größtenteils Marketing; produktive Post-Quantum-Signaturen (ML-DSA) werden von öffentlichen CAs noch nicht breit ausgestellt.

Ist Post-Quantum-TLS langsamer?

Kaum. ML-KEM-768 ist rechnerisch schnell — oft schneller als ECDHE. Die Hauptkosten liegen in der Größe: Die größeren Key-Shares fügen dem Handshake ~1 KB hinzu, was nur in Netzwerken mit sehr kleinen Paketgrenzen einen zusätzlichen Roundtrip kosten kann. Für nahezu alle Nutzer ist der Unterschied nicht messbar.

Wann werden Quantencomputer RSA tatsächlich brechen?

Niemand weiß es. Glaubwürdige Schätzungen reichen von den frühen 2030er-Jahren bis hin zu „vielleicht nie im großen Maßstab“. Aber wegen harvest now, decrypt later ist die Einsatzfrist für den Schlüsselaustausch bereits da — genau deshalb haben Browser und CDNs 2024–2026 gehandelt, statt zu warten.

Was ist mit TLS 1.2?

Der hybride Post-Quantum-Schlüsselaustausch ist nur für TLS 1.3 definiert. Das ist ein weiterer Grund, TLS 1.3 → zu aktivieren — es ist der einzige Weg zu quantensicherem HTTPS. TLS 1.2 wird keinen Post-Quantum-Schlüsselaustausch erhalten.

Ist ML-KEM dasselbe wie Kyber?

Ja — ML-KEM ist die von NIST standardisierte Version des Algorithmus, der früher CRYSTALS-Kyber hieß. Ältere Browser-Builds und Tools zeigen Kyber768; standardisierte Implementierungen verwenden ML-KEM-768. Sie sind eng verwandt, aber nicht Bit für Bit identisch, sodass ein Client mit dem finalen Standard und ein Server vor dem Standard die Aushandlung möglicherweise nicht abschließen. Bis 2026 ist das Ökosystem weitgehend auf das finale ML-KEM umgestiegen.

Sollte ich jetzt sofort etwas tun?

Für eine typische Website: Stellen Sie sicher, dass Sie auf TLS 1.3 sind, halten Sie Ihre TLS-Bibliothek aktuell (OpenSSL 3.5+), und ziehen Sie ein PQC-fähiges CDN in Betracht, wenn Sie langlebige sensible Daten verarbeiten. Das reicht aus, um heute einen quantensicheren Schlüsselaustausch zu erhalten. Post-Quantum-Zertifikate können warten, bis die Standards und das CA-Tooling ausgereift sind.

Verwandte Artikel

SSL & Zertifikate 2026-05-08
Was ist TLS 1.3? Alles, was sich geändert hat
TLS 1.3 ist der aktuelle Verschlüsselungsstandard — schnellerer Handshake, obligatorisches Forward Secrecy, keine Legacy-Algorithmen. Erfahren Sie, was sich gegenüber TLS 1.2 geändert hat, wie Sie es aktivieren und ob Sie es erzwingen sollten.
SSL & Zertifikate 2026-05-08
Was ist Forward Secrecy (Perfect Forward Secrecy)?
Forward Secrecy bedeutet, dass jede TLS-Verbindung einen einzigartigen Schluessel verwendet. Selbst wenn der private Schluessel Ihres Servers kompromittiert wird, koennen vergangene Kommunikationen nicht entschluesselt werden. Erfahren Sie, wie es funktioniert und wie Sie sicherstellen, dass es aktiviert ist.
SSL & Zertifikate 2026-05-08
Public-Key-Kryptographie: Wie SSL-Verschluesselung wirklich funktioniert
Public-Key-Kryptographie verwendet ein Schluesselpaar -- einen oeffentlichen und einen privaten -- um HTTPS-Verbindungen zu sichern. Erfahren Sie, wie asymmetrische Verschluesselung, digitale Signaturen und Schluesselaustausch SSL/TLS ermoeglichen.
SSL & Zertifikate 2026-05-07
ECC vs. RSA-Zertifikate: Welches sollten Sie waehlen?
Vergleich von ECC (ECDSA P-256) und RSA (2048/4096-Bit) Zertifikaten. ECC-Schluessel sind kleiner und schneller. Erfahren Sie, warum GetHTTPS standardmaessig ECC verwendet und wann RSA noch sinnvoll ist.
Kostenloses SSL-Zertifikat im Browser erhalten
Keine Installation, kein Konto. Ihr privater Schlüssel verlässt nie Ihr Gerät.
Zertifikat erhalten