ポスト量子暗号の使用状況、暗号化メッセージング、ルーティングセキュリティへの透明性向上
CloudflareはRadarプラットフォームを更新し、ポスト量子暗号(PQ)のオリジンサーバー対応状況の可視化、WhatsAppなどのエンドツーエンド暗号化におけるKey Transparencyログの公開ダッシュボード、およびBGPルート漏洩防止規格ASPAの展開状況に関するセキュリティデータを追加した。
キーポイント
ポスト量子暗号(PQ)の可視化拡大
CloudflareはRadarにおいて、従来のクライアント側だけでなくオリジンサーバー側のPQ対応状況(X25519MLKEM768アルゴリズム)を可視化し、互換性チェックツールを提供した。
Key Transparencyログの公開
WhatsAppなどのエンドツーエンド暗号化サービスにおけるKey Transparency Logsの署名・検証ステータスをリアルタイムで表示するダッシュボードを公開し、公開鍵配布の整合性を誰でも検証可能にした。
ルーティングセキュリティの強化
BGPルート漏洩を検知・防止する新興規格ASPAのグローバル、国別、ネットワークレベルでの展開状況をRadarで提供し、インターネットルーティングのセキュリティを強化した。
ポスト量子暗号対応の急増
2025年初頭の1%未満から、ポスト量子鍵合意を有効活用できるオリジンが約10%に急増し、過去1年で10倍の成長を示している。
主要ライブラリのデフォルト有効化
OpenSSL 3.5.0+、GnuTLS 3.8.9+、Go 1.24+などの主要なサーバー側TLSライブラリがハイブリッドポスト量子鍵交換をデフォルトで有効化し、移行を促進している。
新ツールの公開とAPI提供
Radar APIでオリジンの準備状況データが利用可能になり、特定のホスト名がポスト量子暗号をサポートしているかテストできる新ツールも公開された。
Cloudflare RadarのPQサポート確認ツール
ホスト名を入力してテストできるフォームを提供し、サーバーがPQ(ポスト量子)接続を優先しているか否かを「PQ」タグとTLS鍵交換アルゴリズムで表示する。
影響分析・編集コメントを表示
影響分析
この発表は、ポスト量子暗号への移行が単なるクライアント側の技術課題ではなく、サーバーサイドのインフラ全体での対応が必要であることを示唆しており、セキュリティ実務者の監視対象範囲を拡大させる。また、Key Transparencyの公開化は、プライバシー保護と透明性の両立を目指す現代のインターネットガバナンスにおいて、信頼検証の新たな基準を示すものであり、大規模な暗号化サービス提供者に対する監査圧力となる。
編集コメント
ポスト量子暗号の移行は長期的な課題だが、Cloudflareがインフラレベルで可視化ツールを提供することで、企業側の移行ペースを加速させるきっかけとなる可能性がある。
Cloudflare Radar はすでに、アプリケーション層およびネットワーク層の攻撃から悪意のある電子メール、デジタル証明書、インターネットルーティングに至るまで、幅広いセキュリティインサイトを提供しています。
そして本日、さらに多くの機能を導入いたします。Radar 上で、いくつかの新規なセキュリティ関連データセットとツールを公開します:
ポスト量子(PQ)監視の範囲をクライアント側から拡張し、オリジン側の接続も対象に含めるようになりました。また、任意のウェブサイトのポスト量子暗号化互換性を確認するための新ツールもリリースしました。
Radar の新しい「キー透明性(Key Transparency)」セクションでは、WhatsApp などのエンドツーエンド暗号化メッセージングサービスのキー透明性ログのリアルタイム検証ステータスを表示するパブリックダッシュボードを提供しています。これにより、各ログが Cloudflare の監査役(Auditor)によって最後に署名および検証された日時を確認できます。このページは、誰でも公開鍵配布の整合性を監視でき、API にアクセスして監査役の証明を独立して検証できる透明性の高いインターフェースとして機能します。
ルーティングセキュリティに関するインサイトも拡大し、BGP ルートリークを検出・防止する新興標準である ASPA の導入状況について、グローバルレベル、国レベル、ネットワークレベルの情報が増設されました。
オリジン側のポスト量子サポートの測定

2024 年 4 月以来、Cloudflare Radar においてポスト量子暗号化に対するクライアントのサポートの集計成長を追跡し、2024 年初頭の 3% を下回る水準から、2026 年 2 月には 60% を超えるまでの世界的な成長を記録してきました。そして 2025 年 10 月には、ユーザーがブラウザが X25519MLKEM768(古典的な X25519 と NIST によって標準化された格子ベースのポスト量子方式である ML-KEM を組み合わせたハイブリッド鍵交換アルゴリズム)をサポートしているかどうかを確認できる機能を追加しました。これにより、古典的攻撃および量子攻撃の両方に対するセキュリティが提供されます。
しかし、ユーザーから Cloudflare への接続におけるポスト量子暗号化サポートは、物語の一部に過ぎません。

CDN キャッシュにないコンテンツ、またはキャッシュ不可能なコンテンツについては、Cloudflare のエッジサーバーが顧客のオリジンサーバーと別の接続を確立して取得します。これらのオリジン指向フェッチに対する量子耐性セキュリティへの移行を加速させるため、以前に顧客がポスト量子接続を優先するオプションを選択できる API を導入しました。本日、私たちは Radar 上でオリジンサーバーのポスト量子互換性を可視化できるようになりました。

Radar 上の新しいオリジンポスト量子サポートグラフは、X25519MLKEM768 をサポートする顧客のオリジンの割合を示しています。このデータは、TLS 1.3 互換性のオリジンをプローブし、結果を毎日集計する当社の自動化された TLS スキャナから導き出されています。重要な点として、スキャナがテストするのは特定のオリジンサーバーの好意ではなく、サポートの有無であることに留意してください。あるオリジンがポスト量子鍵交換アルゴリズムをサポートしていても、そのローカルの TLS 鍵交換の優先順位が最終的に暗号化の結果を決定づける可能性があります。
メイングラフはポスト量子対応に焦点を当てていますが、スキャナは古典的な鍵交換アルゴリズム(classical key exchange algorithms)のサポートも評価しています。Radar Data Explorer のビュー内では、これらのサポートされる TLS 鍵交換メソッドの完全な分布を確認することもできます。

上記のグラフに示されている通り、現在約 10% のオリジンがポスト量子耐性(post-quantum)を優先した鍵合意の恩恵を受ける可能性があります。これは 2025 年初頭の 1% 未満から大幅な増加であり、わずか 1 年余りで 10 倍に達しています。業界が移行を続けるにつれて、この数値は着実に増加すると予想されます。この上昇傾向は、OpenSSL 3.5.0+、GnuTLS 3.8.9+、Go 1.24+ など、多くのサーバーサイド TLS ライブラリがデフォルトでハイブリッドポスト量子鍵交換(hybrid post-quantum key exchange)を有効にしたことにより、2025 年にさらに加速した可能性があります。これにより、プラットフォームやサービスは暗号化ライブラリの依存関係を更新するだけで、ポスト量子接続をサポートできるようになりました。
Radar および Data Explorer のグラフに加え、オリジンの準備状況データは Radar API でも利用可能です。
インターネットがポスト量子暗号(post-quantum cryptography)へ移行するのを支援するための取り組みの一環として、特定のホスト名がポスト量子暗号化をサポートしているかをテストするためのツールも新たに公開します。これらのテストは、Cloudflare のエグレス IP アドレス範囲からの接続を許可している限り、誰でもアクセス可能なウェブサイトに対して実行できます。
image
Radar 内のツールで、ホスト名がポスト量子暗号化をサポートしているかをテストするスクリーンショット。
このツールは、ユーザーがホスト名(cloudflare.com や www.wikipedia.org など)を入力し、オプションでカスタムポートを指定できるシンプルなフォームを提供します(デフォルトは標準的な HTTPS ポートである 443 です)。[Test] ボタンをクリックすると、結果として PQ サポート状況を示すタグと、ネゴシエートされた TLS キー交換アルゴリズムが表示されます。サーバーが PQ セキュア接続を優先する場合、緑色の「PQ」タグが表示され、「ポスト量子セキュア(post-quantum secure)」であると確認するメッセージが示されます。それ以外の場合、赤いタグが表示され、「ポスト量子セキュアではない」として、ネゴシエートされた古典的なアルゴリズムが示されます。


このツールの内部では、Cloudflare Containers(Workers と並行してコンテナワークロードを実行できる新機能)が使用されています。Workers ランタイムは、基盤となる TLS ハンドシェイクの詳細にアクセスできないため、Workers 自体で TLS スキャンを開始することはできません。そのため、ポスト量子互換性チェックをサポートする crypto/tls パッケージを活用した Go コンテナを作成しました。このコンテナはオンデマンドで実行され、実際のハンドシェークを実行してネゴシエートされた TLS キー交換アルゴリズムを特定し、その結果を Radar API を経由して返します。
これらの発信元指向の洞察を追加し、既存のクライアント指向の洞察を補完することで、すべてのポスト量子(post-quantum)コンテンツをRadar上の独自のセクションへ移動しました。
鍵透明性(Key Transparency)を用いたE2EEメッセージングシステムの保護

WhatsAppやSignalのようなエンドツーエンド暗号化(E2EE)メッセージングアプリは、世界中の数十億人によって利用されるプライベート通信のための不可欠なツールとなっています。これらのアプリは公開鍵暗号方式を用いて、メッセージの内容を送信者と受信者のみが閲覧でき、メッセージングサービス自体でさえも閲覧できないように保証しています。しかし、このモデルにはしばしば見落とされがちな脆弱性が存在します:ユーザーは、各連絡先に対して正しい公開鍵を配布していることをメッセージングアプリに信頼しなければならないのです。
攻撃者がメッセージングアプリのデータベース内で誤った公開鍵を差し替えることに成功した場合、送信者は気づかぬまま、他人宛てのメッセージを傍受されてしまう可能性があります。
Key Transparency は、TLS 証明書向けの Certificate Transparency と同様の概念を持つ、公開鍵の監査可能かつ追加専用のログを作成することで、この課題に対処します。メッセージングアプリは、ユーザーの公開鍵を透明性ログに公開し、独立した第三者が、そのログが時間とともに正しく一貫して構築されていることを検証し、保証することができます。2024 年 9 月、Cloudflare は WhatsApp 向けの Key Transparency オーディターを発表し、メッセージングアプリの数十億人のユーザーに対する公開鍵配布の整合性を確保するのに役立つ独立した検証レイヤーを提供しました。
本日、私たちは Cloudflare Radar の新しい「Key Transparency」セクションで、Key Transparency の監査データを公開します。このセクションでは、Cloudflare が監査する Key Transparency ログを紹介し、研究者、セキュリティ専門家、そして好奇心旺盛なユーザーに対し、これらの重要なシステムの健全性と活動状況への窓を提供します。

新しいページでは、監視対象のログとして WhatsApp と Facebook Messenger Transport の 2 つが用意されています。各監視対象のログは、以下の情報を含むカードとして表示されます:
ステータス:ログがオンライン状態、初期化中、または無効化されているかを示します。「オンライン」ステータスは、ログが Cloudflare が監査するエポックに鍵の更新を積極的に公開していることを意味します。(エポックとは、特定の時点で鍵ディレクトリに適用される一連の更新を表すものです。)
最終署名済みエポック:メッセージングサービスのログによって公開され、Cloudflare によって承認された最新のエポックです。目のアイコンをクリックすると、ユーザーは JSON 形式で完全なエポックデータ(エポック番号、タイムスタンプ、暗号化ダイジェスト、および署名を含む)を表示できます。
最終検証済みエポック:Cloudflare が検証した最新のエポックです。検証には、前回のエポックから現在のエポックへの透明性ログデータ構造の移行が有効なツリー変換を表しているかを確認することが含まれており、これによりログが正しく構築されていることを保証します。検証タイムスタンプは、Cloudflare が監査を完了した時刻を示します。
ルート:監査可能な鍵ディレクトリ(Auditable Key Directory: AKD)ツリーの現在のルートハッシュです。このハッシュは、現在のエポックにおける鍵ディレクトリの完全な状態を暗号学的に表しています。エポックフィールドと同様に、ユーザーはクリックして監査者からの完全な JSON 応答を表示できます。
ページに表示されるデータは、監査者情報および名前空間用のエンドポイントを持つ Key Transparency Auditor API を通じても利用可能です。
もし自分で監査証明検証を行いたい場合は、当社の「監査用キー透明性」ブログ記事に記載された手順に従ってください。Radar のこの「キー透明性」セクションで公開するユースケースが最初のものとなることを願っています。あなたの会社や組織がパブリックキーまたは関連インフラストラクチャの監査に関心がある場合は、こちらからお問い合わせください。
RPKI ASPA 導入状況の追跡
image
Border Gateway Protocol (BGP) はインターネットルーティングの基盤ですが、伝播するパスの有効性を検証するための組み込みメカニズムを備えて設計されていません。この本質的な信頼性は長年、グローバルネットワークをルートリークやハイジャックに対して脆弱にしてきました。これらは、トラフィックが誤ってまたは悪意を持って許可されていないネットワークを経由して迂回される現象です。
RPKI およびルートオリジン認証(ROAs)はルートの起源を強化することに成功しましたが、ネットワーク間のトラフィックが通る経路を検証することはできません。ここで登場するのが ASPA(Autonomous System Provider Authorization)です。ASPA は、自律システム(AS)がそのルートを上流へ伝播させることを許可されたネットワークを列挙したレコードを暗号署名することで、RPKI の保護機能を拡張します。この顧客からプロバイダへの関係を検証することにより、ASPA はシステムが不正な経路公告を検出する自信を与え、それに応じて対応することを可能にします。
特定の IETF 標準はまだドラフト段階ですが、運用コミュニティは急速に進んでいます。ASPA オブジェクトの作成をサポートする機能はすでに ARIN や RIPE NCC などの地域インターネットレジストリ(RIRs)のポータルに実装されており、OpenBGPD や BIRD といった主要なソフトウェアルーティングスタックでも検証ロジックが利用可能です。
この新興標準の採用状況をより明確にするため、Cloudflare Radar のルーティングセクションに包括的な RPKI ASPA サポートを追加しました。これらのレコードをグローバルに追跡することで、業界がどのように迅速により良い経路検証へと移行しているかを理解することができます。

最新のASPA(Autonomous System Provider Authorization)導入状況ビューにより、ユーザーは時間経過に伴うASPAの採用拡大を調査できるようになりました。また、AS登録に基づき、5つの地域インターネットレジストリ(RIRs)全体にわたるトレンドを可視化する機能も備えています。2023年10月1日に遡るASPAエントリの完全な履歴を表示したり、特定の期間にズームインして、ARINやRIPE NCCのオンラインダッシュボードでASPA機能が導入されたといった業界イベントと採用数の急増を関連付けたりすることが可能です。
集計トレンドを超えて、リアルタイムのASPAコンテンツを対象とした、詳細かつ検索可能なエクスプローラーも新たに導入しました。このテーブルビューでは、AS番号やAS名での検索、あるいはプロバイダーまたは顧客のASN(Autonomous System Number)のみをフィルタリングすることで、現在のASPAレコードの状態を検証できます。これにより、ネットワーク運用担当者は自社のレコードが正しく公開されているかを確認し、他のネットワークの設定も閲覧できるようになります。
image
また、ASPAデータを国・地域別のルーティングページに直接統合しました。ユーザーは、現地に登録された顧客ASNからの関連するASPAレコードに基づき、異なる場所がインフラのセキュリティ強化をどの程度進めているかを追跡できるようになりました。

個別の AS(自律システム)ページにおいて、接続セクションを更新しました。 now、ネットワークの接続を表示する際に、「ASPA 検証済みプロバイダー」の視覚的インジケーターが表示されるようになりました。この注釈は、特定のアップストリーム接続を承認する ASPA レコードが存在することを確認し、ルーティングの健全性と信頼性の即座のシグナルを提供します。

ASPA を展開した AS に対しては、承認されたプロバイダー ASN の完全なリストとその詳細を表示するようになりました。現在の状態に加え、Radar はその AS に関わる ASPA アクティビティの詳細なタイムラインも提供します。この履歴では、AS 自体が開始した変更(「顧客として」)と、他者が作成しそれをプロバイダーとして指定したレコード(「プロバイダーとして」)を区別するため、ユーザーは特定のルーティング承認がいつ確立または変更されたかを即座に識別できます。

可視性は、ASPA(Autonomous System Provider Authorization)のような新興のルーティングセキュリティプロトコルのより広範な採用に向けた不可欠な第一歩です。このデータを表面化することで、オペレーターが保護策をデプロイするのを支援し、研究者がインターネットがより安全なルーティングパスへと進む進捗を追跡することを助けることを目指しています。また、このデータを自身のワークフローに統合したり、より深い分析を行ったりする必要がある方のために、これらのメトリクスもプログラム的に公開しています。ユーザーは、新たに導入された Cloudflare Radar API のエンドポイントを使用して、ASPA コンテンツのスナップショット、歴史的な時系列データ、詳細な変更データにアクセスできるようになりました。
セキュリティの進化に伴い、データも進化します
インターネットセキュリティは継続的に進化しており、情報、アプリケーション、ネットワークが安全であるよう保証するために、新しいアプローチ、プロトコル、標準が開発され続けています。Cloudflare Radar で利用可能なセキュリティデータとインサイトも同様に進化していきます。上記で強調された新セクションは、すでに Cloudflare Radar で提供されている既存のルーティングセキュリティ、透明性、およびポスト量子(Post-Quantum)に関する知見を拡張するものです。
これらの新しいチャートやグラフをソーシャルメディアで共有する際は、必ず @CloudflareRadar (X)、noc.social/@cloudflareradar (Mastodon)、radar.cloudflare.com (Bluesky) にタグ付けしてください。ご質問やコメント、または Radar へ追加していただきたいデータに関するご提案がある場合は、ソーシャルメディアでお問い合わせいただくか、メールにてご連絡ください。

原文を表示
Cloudflare Radar already offers a wide array of security insights — from application and network layer attacks, to malicious email messages, to digital certificates and Internet routing.
And today we’re introducing even more. We are launching several new security-related data sets and tools on Radar:
We are extending our post-quantum (PQ) monitoring beyond the client side to now include origin-facing connections. We have also released a new tool to help you check any website's post-quantum encryption compatibility.
A new Key Transparency section on Radar provides a public dashboard showing the real-time verification status of Key Transparency Logs for end-to-end encrypted messaging services like WhatsApp, showing when each log was last signed and verified by Cloudflare's Auditor. The page serves as a transparent interface where anyone can monitor the integrity of public key distribution and access the API to independently validate our Auditor’s proofs.
Routing Security insights continue to expand with the addition of global, country, and network-level information about the deployment of ASPA, an emerging standard that can help detect and prevent BGP route leaks.
Measuring origin post-quantum support
image
Since April 2024, we have tracked the aggregate growth of client support for post-quantum encryption on Cloudflare Radar, chronicling its global growth from under 3% at the start of 2024, to over 60% in February 2026. And in October 2025, we added the ability for users to check whether their browser supports X25519MLKEM768 — a hybrid key exchange algorithm combining classical X25519 with ML-KEM, a lattice-based post-quantum scheme standardized by NIST. This provides security against both classical and quantum attacks.
However, post-quantum encryption support on user-to-Cloudflare connections is only part of the story.
image
For content not in our CDN cache, or for uncacheable content, Cloudflare’s edge servers establish a separate connection with a customer’s origin servers to retrieve it. To accelerate the transition to quantum-resistant security for these origin-facing fetches, we previously introduced an API allowing customers to opt in to preferring post-quantum connections. Today, we’re making post-quantum compatibility of origin servers visible on Radar.
image
The new origin post-quantum support graph on Radar illustrates the share of customer origins supporting X25519MLKEM768. This data is derived from our automated TLS scanner, which probes TLS 1.3-compatible origins and aggregates the results daily. It is important to note that our scanner tests for support rather than the origin server's specific preference. While an origin may support a post-quantum key exchange algorithm, its local TLS key exchange preference can ultimately dictate the encryption outcome.
While the headline graph focuses on post-quantum readiness, the scanner also evaluates support for classical key exchange algorithms. Within the Radar Data Explorer view, you can also see the full distribution of these supported TLS key exchange methods.
image
As shown in the graphs above, approximately 10% of origins could benefit from a post-quantum-preferred key agreement today. This represents a significant jump from less than 1% at the start of 2025 — a 10x increase in just over a year. We expect this number to grow steadily as the industry continues its migration. This upward trend likely accelerated in 2025 as many server-side TLS libraries, such as OpenSSL 3.5.0+, GnuTLS 3.8.9+, and Go 1.24+, enabled hybrid post-quantum key exchange by default, allowing platforms and services to support post-quantum connections simply by upgrading their cryptographic library dependencies.
In addition to the Radar and Data Explorer graphs, the origin readiness data is available through the Radar API as well.
As an additional part of our efforts to help the Internet transition to post-quantum cryptography, we are also launching a tool to test whether a specific hostname supports post-quantum encryption. These tests can be run against any publicly accessible website, as long as they allow connections from Cloudflare’s egress IP address ranges.
image
A screenshot of the tool in Radar to test whether a hostname supports post-quantum encryption.
The tool presents a simple form where users can enter a hostname (such as cloudflare.com or www.wikipedia.org) and optionally specify a custom port (the default is 443, the standard HTTPS port). After clicking "Test", the result displays a tag indicating PQ support status alongside the negotiated TLS key exchange algorithm. If the server prefers PQ secure connections, a green "PQ" tag appears with a message confirming the connection is "post-quantum secure." Otherwise, a red tag indicates the connection is "not post-quantum secure", showing the classical algorithm that was negotiated.
image
image
Under the hood, this tool uses Cloudflare Containers — a new capability that allows running container workloads alongside Workers. Since the Workers runtime is not exposed to details of the underlying TLS handshake, Workers cannot initiate TLS scans. Therefore, we created a Go container that leverages the crypto/tls package's support for post-quantum compatibility checks. The container runs on-demand and performs the actual handshake to determine the negotiated TLS key exchange algorithm, returning results through the Radar API.
With the addition of these origin-facing insights, complementing the existing client-facing insights, we have moved all the post-quantum content to its own section on Radar.
Securing E2EE messaging systems with Key Transparency
image
End-to-end encrypted (E2EE) messaging apps like WhatsApp and Signal have become essential tools for private communication, relied upon by billions of people worldwide. These apps use public-key cryptography to ensure that only the sender and recipient can read the contents of their messages — not even the messaging service itself. However, there's an often-overlooked vulnerability in this model: users must trust that the messaging app is distributing the correct public keys for each contact.
If an attacker were able to substitute an incorrect public key in the messaging app's database, they could intercept messages intended for someone else — all without the sender knowing.
Key Transparency addresses this challenge by creating an auditable, append-only log of public keys — similar in concept to Certificate Transparency for TLS certificates. Messaging apps publish their users' public keys to a transparency log, and independent third parties can verify and vouch that the log has been constructed correctly and consistently over time. In September 2024, Cloudflare announced such a Key Transparency auditor for WhatsApp, providing an independent verification layer that helps ensure the integrity of public key distribution for the messaging app's billions of users.
Today, we're publishing Key Transparency audit data in a new Key Transparency section on Cloudflare Radar. This section showcases the Key Transparency logs that Cloudflare audits, giving researchers, security professionals, and curious users a window into the health and activity of these critical systems.
image
The new page launches with two monitored logs: WhatsApp and Facebook Messenger Transport. Each monitored log is displayed as a card containing the following information:
Status: Indicates whether the log is online, in initialization, or disabled. An "online" status means the log is actively publishing key updates into epochs that Cloudflare audits. (An epoch represents a set of updates applied to the key directory at a specific time.)
Last signed epoch: The most recent epoch that has been published by the messaging service's log and acknowledged by Cloudflare. By clicking on the eye icon, users can view the full epoch data in JSON format, including the epoch number, timestamp, cryptographic digest, and signature.
Last verified epoch: The most recent epoch that Cloudflare has verified. Verification involves checking that the transition of the transparency log data structure from the previous epoch to the current one represents a valid tree transformation — ensuring the log has been constructed correctly. The verification timestamp indicates when Cloudflare completed its audit.
Root: The current root hash of the Auditable Key Directory (AKD) tree. This hash cryptographically represents the entire state of the key directory at the current epoch. Like the epoch fields, users can click to view the complete JSON response from the auditor.
The data shown on the page is also available via the Key Transparency Auditor API, with endpoints for auditor information and namespaces.
If you would like to perform audit proof verification yourself, you can follow the instructions in our Auditing Key Transparency blog post. We hope that these use cases are the first of many that we publish in this Key Transparency section in Radar — if your company or organization is interested in auditing for your public key or related infrastructure, you can reach out to us here.
Tracking RPKI ASPA adoption
image
While the Border Gateway Protocol (BGP) is the backbone of Internet routing, it was designed without built-in mechanisms to verify the validity of the paths it propagates. This inherent trust has long left the global network vulnerable to route leaks and hijacks, where traffic is accidentally or maliciously detoured through unauthorized networks.
Although RPKI and Route Origin Authorizations (ROAs) have successfully hardened the origin of routes, they cannot verify the path traffic takes between networks. This is where ASPA (Autonomous System Provider Authorization) comes in. ASPA extends RPKI protection by allowing an Autonomous System (AS) to cryptographically sign a record listing the networks authorized to propagate its routes upstream. By validating these Customer-to-Provider relationships, ASPA allows systems to detect invalid path announcements with confidence and react accordingly.
While the specific IETF standard remains in draft, the operational community is moving fast. Support for creating ASPA objects has already landed in the portals of Regional Internet Registries (RIRs) like ARIN and RIPE NCC, and validation logic is available in major software routing stacks like OpenBGPD and BIRD.
To provide better visibility into the adoption of this emerging standard, we have added comprehensive RPKI ASPA support to the Routing section of Cloudflare Radar. Tracking these records globally allows us to understand how quickly the industry is moving toward better path validation.
image
Our new ASPA deployment view allows users to examine the growth of ASPA adoption over time, with the ability to visualize trends across the five Regional Internet Registries (RIRs) based on AS registration. You can view the entire history of ASPA entries, dating back to October 1, 2023, or zoom into specific date ranges to correlate spikes in adoption with industry events, such as the introduction of ASPA features on ARIN and RIPE NCC online dashboards.
Beyond aggregate trends, we have also introduced a granular, searchable explorer for real-time ASPA content. This table view allows you to inspect the current state of ASPA records, searchable by AS number, AS name, or by filtering for only providers or customer ASNs. This allows network operators to verify that their records are published correctly and to view other networks’ configurations.
image
We have also integrated ASPA data directly into the country/region routing pages. Users can now track how different locations are progressing in securing their infrastructure, based on the associated ASPA records from the customer ASNs registered locally.
image
On individual AS pages, we have updated the Connectivity section. Now, when viewing the connections of a network, you may see a visual indicator for "ASPA Verified Provider." This annotation confirms that an ASPA record exists authorizing that specific upstream connection, providing an immediate signal of routing hygiene and trust.
image
For ASes that have deployed ASPA, we now display a complete list of authorized provider ASNs along with their details. Beyond the current state, Radar also provides a detailed timeline of ASPA activity involving the AS. This history distinguishes between changes initiated by the AS itself ("As customer") and records created by others designating it as a provider ("As provider"), allowing users to immediately identify when specific routing authorizations were established or modified.
image
Visibility is an essential first step toward broader adoption of emerging routing security protocols like ASPA. By surfacing this data, we aim to help operators deploy protections and assist researchers in tracking the Internet's progress toward a more secure routing path. For those who need to integrate this data into their own workflows or perform deeper analysis, we are also exposing these metrics programmatically. Users can now access ASPA content snapshots, historical timeseries, and detailed changes data using the newly introduced endpoints in the Cloudflare Radar API.
As security evolves, so does our data
Internet security continues to evolve, with new approaches, protocols, and standards being developed to ensure that information, applications, and networks remain secure. The security data and insights available on Cloudflare Radar will continue to evolve as well. The new sections highlighted above serve to expand existing routing security, transparency, and post-quantum insights already available on Cloudflare Radar.
If you share any of these new charts and graphs on social media, be sure to tag us: @CloudflareRadar (X), noc.social/@cloudflareradar (Mastodon), and radar.cloudflare.com (Bluesky). If you have questions or comments, or suggestions for data that you’d like to see us add to Radar, you can reach out to us on social media, or contact us via email.
image
関連記事
今日のまとめ
AI日報で今日の重要ニュースをまとめ読み