OpenSSL项目中ML-DSA证书优先级的调整与考量

在OpenSSL项目的开发过程中，开发团队注意到一个关于证书选择优先级的重要技术问题：当服务器同时支持RSA和ML-DSA（基于后量子密码学的模块化格签名算法）证书时，默认情况下系统总是优先选择RSA证书。这一现象引发了关于后量子密码学过渡期最佳实践的深入讨论。

问题背景

在实际测试场景中，当使用OpenSSL的s_server工具同时配置RSA和ML-DSA证书时，客户端连接默认会选择RSA证书。即使启用服务器偏好设置（-serverpref选项），这一行为依然不变。要让系统选择ML-DSA证书，必须显式修改签名算法优先级顺序。

这一现象反映出当前OpenSSL默认配置的一个潜在问题：系统并未将后量子密码学算法置于优先地位。考虑到全球正在向后量子密码学过渡，这种默认行为可能与管理员配置ML-DSA证书的初衷相悖。

技术分析

OpenSSL的证书选择机制基于签名算法优先级列表。当前默认列表中，传统算法（如RSA、ECDSA）排在ML-DSA等后量子算法之前。这种排序导致即使服务器配置了ML-DSA证书，系统仍会优先选择传统算法证书。

从技术实现角度看，这种选择涉及多个层面：

1. 协议兼容性：确保与不支持后量子算法的客户端保持兼容
2. 性能考量：不同签名算法的计算开销差异
3. 安全演进：平衡当前安全需求与未来抗量子计算需求

社区讨论与决策

OpenSSL开发团队对此进行了深入讨论，主要观点包括：

1. 预期行为调整：多数成员认为，当管理员明确配置ML-DSA证书时，系统应默认优先使用这些证书，这符合配置者的安全意图。

2. 算法优先级排序：建议调整默认签名算法优先级，将ML-DSA算法（包括mldsa44、mldsa65和mldsa87）置于传统算法之前，同时保持完整的算法支持列表。

3. 实施时机：虽然临近版本发布周期，但考虑到后量子密码学过渡的重要性，团队决定在3.5版本中实施这一变更。

4. 相关算法考量：讨论也涉及SLH-DSA等其他后量子签名算法，但由于缺乏TLS代码点支持且性能不适合TLS场景，暂不考虑其优先级调整。

技术影响评估

这一变更将带来多方面影响：

1. 兼容性影响：客户端必须支持ML-DSA算法才能建立连接，可能影响与旧版本客户端的互操作性。

2. 性能影响：ML-DSA算法的签名验证速度与传统算法存在差异，可能影响服务器性能表现。

3. 安全演进：加速后量子密码学在实际部署中的应用，为抗量子计算安全做准备。

4. 配置灵活性：仍保留通过-sigalgs参数手动指定算法优先级的能力，满足特殊场景需求。

实施建议

对于OpenSSL用户和管理员，建议：

1. 评估现有客户端对ML-DSA算法的支持情况
2. 在测试环境中验证变更后的连接行为
3. 对于关键系统，考虑显式配置签名算法优先级
4. 关注后量子证书的部署最佳实践和性能优化

这一调整体现了OpenSSL项目在后量子密码学过渡期的积极姿态，既保持了系统的灵活性，又推动了更安全算法在实际环境中的部署。随着后量子密码学标准的成熟和硬件支持的改进，预期这种优先级的调整将成为行业标准做法。