PQC Quick Win 3: Die Browser-Flotte PQC-ready bringen

PQC Quick Win 3: Die Browser-Flotte PQC-ready bringen

Die unerwartet gute Nachricht zuerst: Wenn Ihre Mitarbeitenden mit einem aktuellen Chrome, Edge oder Firefox arbeiten, läuft ein wachsender Anteil ihrer HTTPS-Verbindungen heute schon hybrid-quantenresistent. Die etwas unangenehmere: Wer noch ältere Browser-Versionen in Ihrer Flotte hat, lässt diesen Schutz auf der Straße liegen. Quick Win 3 schließt diese Lücke – und ist der erste Schritt der Strecke, der direkten Endnutzer-Effekt hat.

Was die Browser können – und seit wann

Seit 2024 rollen die großen Browser hybriden Schlüsselaustausch im TLS 1.3 standardmäßig aus, in der Regel als Kombination aus dem etablierten X25519 und dem quantenresistenten ML-KEM-768 (zuvor unter dem Namen Kyber bekannt). Die Codepoint-Bezeichnung im Handshake lautet meist X25519MLKEM768. Trifft der Browser auf einen Server, der diesen Schlüsselaustausch unterstützt, wird er ausgewählt – ohne Zutun des Anwenders, ohne sichtbaren Unterschied. Trifft er auf einen klassischen Server, fällt er auf X25519 zurück.

Die Reichweite ist beachtlich: Cloudflare berichtet öffentlich über zweistellige Prozentanteile hybrider Verbindungen am Gesamtverkehr. Wer einen aktuellen Browser hat, nutzt diese Verfahren also bereits jeden Tag.

Was schiefgehen kann – und in KMU-Umgebungen oft schief geht

Vier typische Stolpersteine:

• Veraltete Browser-Versionen: Wer zentral verteilt, aber das Update nicht durchzieht, hat schnell Versions-Inseln.
• Deaktivierte Funktion durch Gruppenrichtlinie: In einigen Häusern wurde der hybride Schlüsselaustausch nach anfänglichen Inkompatibilitäten 2024 zentral abgeschaltet (“PostQuantumKeyAgreementEnabled” in Chrome/Edge). Falls ja, ist es Zeit, diese Bremse zu lösen.
• TLS-Inspektion durch Proxies/Firewalls: Mittelbox-Geräte, die TLS aufbrechen, sprechen häufig nur klassisches TLS – die hybride Verbindung endet am Proxy, nicht beim Browser.
• Endpoint-Security-Lösungen mit eigenem TLS-Stack: Manche Produkte injizieren ihre eigene Bibliothek und können den Hybrid-Modus stören.

So bringen Sie die Flotte in einer Woche auf Stand

• Versions-Stand erheben: Über das Endpoint-Management (Intune, Jamf, Workspace ONE) ein Inventar des Browser-Stands ziehen. Versionen, in denen X25519MLKEM768 bereits als Standard ausgeliefert wird, sind die Soll-Linie.
• Update-Lücken schließen: Geräte mit alten Versionen identifizieren und auf den aktuellen Stand bringen – das ist Routinearbeit, hat aber in der PQC-Statistik einen unmittelbaren Effekt.
• Gruppenrichtlinien prüfen: In Chrome/Edge die Policy PostQuantumKeyAgreementEnabled (bzw. Nachfolger) suchen. Wenn auf “deaktiviert” gesetzt: Begründung im Change-Log nachsehen, Inkompatibilität neu bewerten, ggf. zurück auf “Standard”.
• Mittelbox-Aufbruch lokalisieren: Bei jedem TLS-Proxy in der Kette die PQC-Fähigkeit klären. Mehrere Hersteller liefern hybride Unterstützung mittlerweile mit; Updates und Lizenzen prüfen.
• Stichprobenkontrolle: Auf einem Beispielgerät pq.cloudflareresearch.com oder tlsfingerprint.io aufrufen – die Seite zeigt direkt, ob der Browser hybriden Schlüsselaustausch nutzt.

Welcher Effekt entsteht – und welcher (noch) nicht

Mit aktualisierter Flotte schützen Sie diejenigen Verbindungen, deren Gegenstelle hybriden Schlüsselaustausch anbietet. Das ist im KMU-Alltag erstaunlich viel: große Cloud-Plattformen, Suchmaschinen, Mail-Provider, viele Banken und SaaS-Anbieter, dazu zunehmend auch eigene Server, die per Cloudflare oder modernem Webserver ausgeliefert werden (Quick Win 4 macht Ihre eigene Website zur Gegenstelle dieser Klasse).

Was Sie noch nicht abdecken: Verbindungen zu älteren internen Diensten, zu klassischen VPN-Gateways, zu Embedded-Geräten. Diese kommen in späteren Quick Wins dran. Ein wichtiger Effekt des Browser-Updates entsteht trotzdem heute: Sie verkleinern die Menge dessen, was im Sinne von “harvest now, decrypt later” überhaupt sinnvoll mitgeschnitten werden kann.

Was Sie diese Woche tun sollten

• Versions-Stand der Browser-Flotte erheben und Update-Lücken schließen.
• Gruppenrichtlinien zum hybriden Schlüsselaustausch prüfen und ggf. auf Standard zurücksetzen.
• TLS-Proxies / -Inspektionsgeräte auf PQC-Fähigkeit klären und beim Hersteller nachhaken.
• Eine Beispielmessung mit pq.cloudflareresearch.com auf einem Standardgerät machen und das Ergebnis im IT-Team teilen.
• Erkenntnis in die Inventur-Tabelle aus Quick Win 1 übernehmen.

Fazit

Die Browser-Flotte PQC-ready zu bringen ist der unaufgeregteste sichtbare Erfolg der Strecke: keine Architekturentscheidung, keine neue Software, kein neues Budget – einfach Versionspflege plus zwei, drei Konfigurationsblicke. Der Lohn ist, dass ein spürbarer Teil des täglichen Web-Verkehrs Ihres Unternehmens ab dieser Woche quantenresistent abgesichert ist.

Quellen

• Chrome Team – Advancing our Post-Quantum Cryptography in Chrome https://blog.chromium.org/2024/05/advancing-our-amazing-bet-on-asymmetric.html
• Mozilla – Post-Quantum Key Exchange in Firefox https://blog.mozilla.org/security/2024/02/22/post-quantum-cryptography-in-firefox/
• Cloudflare Radar – Post-Quantum Adoption https://radar.cloudflare.com/adoption-and-usage
• IETF draft-ietf-tls-hybrid-design – Hybrid key exchange in TLS 1.3 https://datatracker.ietf.org/doc/draft-ietf-tls-hybrid-design/

pqconsult: Ihre Partner bei der PQC-Migration

Wir unterstützen Sie bei der Bewertung Ihrer Mittelbox- und Proxy-Landschaft auf PQC-Fähigkeit – inklusive Hersteller-Nachfragen, Roadmap-Vergleich und Übergangsstrategie. Sprechen Sie uns an, wenn Ihre TLS-Inspektion zur Bremse wird.