全球免费证书签发机构 Let’s Encrypt 正在为 Web PKI 的“后量子时代”做工程落地规划。根据其最新公开信息,该组织计划采用 MTC(Merkle Tree Certificates,默克尔树证书)作为主要方案:先在 2026 年稍晚建立可签发 MTC 的测试环境,再在 2027 年建设可用于生产的完整环境。值得注意的是,当前用户申请与续期既有证书的流程不会被立刻打断,转换更像是分阶段推进的升级路线。
过去几年,后量子密码强化常见的重点往往放在加密与密钥交换上,因为攻击者可能先长期收集今日网络流量,等到未来量子计算能力足以破解既有算法再集中解密。但 TLS 体系里不仅有加密,还包含身份验证链路;尤其是根证书机构金钥、代码签章金钥以及身份系统依赖的长期金钥,它们一旦面临量子威胁,其潜在影响范围比短期证书更大,因此需要更早布局。
然而,Let’s Encrypt 不打算简单地把现有 X.509 证书“直接换成后量子签名”。原因在于后量子签名与公钥体积通常更大:以 ML-DSA-44 为例,签名大小约 2,420 字节,公钥约 1,312 字节。若将典型 Web PKI 的握手内容全面替换为同类后量子方案,单次 TLS 交握需要传输的数据量可能轻易超过 10KB,这可能拖累连接成功率与延迟表现。
MTC 的关键思路是把证书批次塞进默克尔树:由“单一签名”覆盖整批证书。浏览器在 TLS 交握之外,还会维护一套称为 Landmarks 的批次签章信息,从而让 MTC 交握中的身份验证路径变得更轻量——一般情况下只需提供一个签名、一把公钥,以及一段纳入证明数据。这样既能随后量子算法推进,又能降低握手阶段的验证负担。
此外,MTC 还会改变证书透明度(Certificate Transparency, CT)的实现方式。传统 CT 是将证书或预证书额外送交透明度记录服务,并让浏览器通过额外证明确认其已被记录;而 MTC 让每张证书本身成为默克尔树的一部分,将透明度能力纳入签发流程。
要让 MTC 真正进入生产,还需要改造签发基础设施、ACME 协议及相关撤销与运维工具。Let’s Encrypt 也提醒,现有证书不受影响,但维护 ACME 客户端、以及依赖 ACME 自动化管线的团队,应该关注 PLANTS 工作小组的后续讨论,因为部分变更未来可能需要客户端配合。
