Warum mTLS statt Bearer-Token

Kontext

Agenten laufen auf Hunderten von Kunden-Hosts. Jeder braucht eine Identität.

Ein einzelnes Shared Secret — die Kompromittierung eines Hosts = Kompromittierung aller
Per-Host-Bearer-Token — muss rotiert werden; ein langlebiges Token in einer Datei ist ein ernstes Risiko
mTLS mit Per-Host-Client-Cert + kurzem TTL — eine Host-Kompromittierung ist auf das Fenster bis zur nächsten Rotation begrenzt (24h)

mTLS + automatische Rotation. Identität = Peer-Cert-Subject. agentIDFromCert(r) ist die einzige Identitätsquelle im Ingest-Handler.