Let’s Encrypt готовится к постквантовому будущему Web PKI. Их выбор — Merkle Tree Certificates, или MTC. Это новый подход, который добавляет постквантовую аутентификацию в веб, не жертвуя скоростью и надёжностью TLS.
Раньше главной проблемой считали шифрование: злоумышленник может записать трафик сегодня и расшифровать его через годы на квантовом компьютере. С аутентификацией всё было проще — квантовый компьютер должен подделать подпись в реальном времени, а не задним числом. Но сроки сжимаются. NSA, NIST и Евросоюз задают горизонт до 2035 года. Google объявил, что мигрирует свои сервисы уже к 2029 году. Cloudflare поддержал. В Go 1.27 добавили ML-DSA — стандартизированную постквантовую подпись. Работать надо прямо сейчас.
С Web PKI всё сложно. Главная проблема — размер. ML-DSA-44 даёт подпись примерно в 2420 байт. Для сравнения: RSA-2048 — 256 байт, ECDSA-P256 — 64 байта. Публичные ключи тоже больше. Если заменить текущие подписи на постквантовые, TLS-рукопожатие перевалит за 10 килобайт. Исследования Cloudflare показали: на реальных сетях заметная часть соединений просто падает, остальные тормозят. Платить такую цену за безопасность от ещё не существующей угрозы — тяжело.
MTC устроены иначе. Центр сертификации выпускает сертификаты не по одному, а пачками, и подписывает всю пачку одной подписью. Браузеры получают эти «метки» отдельно от TLS-рукопожатия. В обычном случае рукопожатие MTC содержит одну подпись, один открытый ключ и одно доказательство включения — это меньше, чем в текущем Web PKI, несмотря на постквантовые алгоритмы. Кроме того, прозрачность встроена в саму выдачу: сертификат не может существовать вне Merkle tree. Let's Encrypt уже больше пяти лет управляет такими деревьями в Certificate Transparency.
Cloudflare и Chrome уже запустили эксперименты с MTC на реальном трафике. IETF работает над стандартизацией в рабочей группе PLANTS. Chrome объявил MTC своим предпочтительным путём.
Let's Encrypt планирует запустить стендовое окружение в конце 2026 года, а production — в 2027-м. Это большая работа: изменения в инфраструктуре выдачи, протоколе ACME, отзыве сертификатов и логах прозрачности. Для пользователей пока ничего не меняется — текущие сертификаты продолжают работать. Когда постквантовые появятся, они будут такими же бесплатными и автоматическими.
Если вы поддерживаете ACME-клиент, стоит уже сейчас следить за PLANTS и списком рассылки mtcs@chromium.org. Клиентская поддержка тоже понадобится.
И важное замечание: постквантовое шифрование — более срочная проблема, любой TLS без гибридного обмена ключами (X25519MLKEM768) потенциально можно записать и расшифровать потом. Включайте его на серверах уже сейчас, браузеры и ОС его поддерживают.