Почему mTLS, а не bearer token

Контекст

Агенты живут на сотнях хостов клиентов. Каждому нужно дать identity.

Варианты

• Один shared secret — компрометация любого хоста = компрометация всех
• Per-host bearer token — нужно ротировать; долгоживущий токен в файле = сильный риск
• mTLS с per-host client cert + short TTL — компрометация хоста ограничена окном до следующей ротации (24h)

Что мы выбрали

mTLS + автоматическая ротация. Identity = peer cert subject. agentIDFromCert(r) — единственный источник identity в ingest handler.