10 KB 与 40 KB 的悬崖：PQC 证书膨胀作为网络问题

报告

by Simon McCorkindale May 2, 2026

来自周和曹（UIUC / NCSA）的一篇新 arXiv 预印本对 PQC 证书膨胀的网络开销进行了量化分析。核心发现是：随着证书链增长，TTFB 并非平滑劣化——而是在链大小突破 TCP 传输窗口的两个特定节点时呈阶梯式上升。

参考资料： arXiv 2604.24869v1，2026年4月27日。

性能断崖

第一个断崖位于约 10 KB 处。IW=10 将首个 RTT 的数据量上限设为约 14 KB；一旦超过，便需额外付出一次往返延迟。第二个断崖位于约 40 KB 处，慢启动倍增与 IW 叠加后，有效阈值约为 42 KB。

带两个中间证书的 ML-DSA-44 链大小约为 12 KB——已越过第一个断崖。SLH-DSA-192s 则两个断崖全部突破。作者测量发现，在极端 RTT 场景下，仅因阈值越界就可造成高达约 1.5 倍的 TTFB 膨胀。传播延迟本身的影响几乎可以忽略不计。

经评估的三种缓解方案，效果差异显著：

MTC：约 2–3 倍余量。以 Merkle 证明替代 X.509 中间证书，可将原本会突破 10 KB 断崖的证书链控制在阈值以内（draft-ietf-plants-merkle-tree-certs）。
CDN 证书链优化：约 1.6 倍余量。有一定效果，但对于 SLH-DSA 而言单独使用仍不足够。
会话恢复：在适用场景下效果极为显著。其 NCSA Zeek 数据显示，CDN TLS 1.3 的恢复率高达 94%，而非 CDN 仅为 46%。恢复会话可完全跳过证书传输。CDN 侧实现的 TTFB 节省约为非 CDN 的 2 倍。

新西兰面临两个叠加因素。

地理距离会放大每一次额外的 RTT——对我们来说，120–200+ ms 的洲际延迟是常态。向美国东部源站发起的 12 KB ML-DSA 证书链握手，每次冷连接将在基线延迟之上额外增加 150–200 ms 的惩罚。

正因距离原因，新西兰对 CDN 边缘节点的依赖程度很高。研究发现 CDN 侧缓解措施能挽回大部分性能损失，这是个好消息——但前提是你的服务确实经过 CDN 前置，且你的会话恢复率接近 NCSA 的整体水平。对于首次连接流量，实际情况几乎可以肯定并非如此。

在测试环境中，OQS 协议栈开销主导了绝对 TTFB（约 50–55 ms 可归因于实现层面，而非网络层面），且数据包丢失与分片问题未被直接测量。不过，阈值断崖本身是真实存在的，而这一定性发现——PQC 迁移风险本质上是一个网络形态问题，而非单纯的密码学正确性问题——才是值得深入探讨的核心框架。