Google hat einen detaillierten Fahrplan vorgestellt, wie Chrome-HTTPS-Zertifikate gegen künftige Postquanten-Angriffe geschützt werden sollen, ohne die Performance des Webs zu zerstören. Im Zentrum steht eine neue Zertifikatstechnologie namens Merkle Tree Certificates (MTC), die bereits experimentell in Chrome und in der Infrastruktur von Cloudflare eingesetzt wird. Ziel ist es, die bekannten Sicherheitsvorteile der Postquanten-Kryptographie mit der heute gewohnten Geschwindigkeit von TLS-Verbindungen zu verbinden.
Postquanten-Kryptographie und ihre Auswirkungen auf TLS-Performance
Heutige HTTPS-Verbindungen basieren auf der klassischen X.509-PKI. Üblicherweise nutzt die Zertifikatskette vom Server bis zur Root-CA kompakte Signaturen auf Basis elliptischer Kurven (z. B. ECDSA). Die resultierende TLS-Zertifikatskette, die beim TLS-Handshake übertragen wird, liegt typischerweise bei rund 4 KByte. Dieser Umfang ist für Desktop- und Mobilnetze gut beherrschbar und trägt zu schnellen Seitenaufrufen bei.
Mit der Einführung von postquanten-sicheren Signaturalgorithmen ändert sich dieses Bild drastisch. Verfahren der Klasse ML‑DSA, die von NIST im Rahmen des Post-Quantum-Cryptography-Programms als digitale Signaturen standardisiert werden, erzeugen Schlüssel und Signaturen, die ein Vielfaches größer sind als ECDSA. Studien und Prototypen zeigen, dass vollständige postquantenfähige Zertifikatsketten bis zu 40-mal größer sein können als heutige ECC-basierte Pendants. In Mobilnetzen mit hoher Latenz kann allein dieser Größenzuwachs den TLS-Handshake um mehrere Round-Trips verzögern.
Größere TLS-Nachrichten erhöhen nicht nur die Latenz des Handshakes, sondern belasten auch bestehende Netzwerkkomponenten. Viele sogenannte Middleboxes – Firewalls, DPI-Appliances oder alte Load-Balancer – sind für deutlich größere TLS-Strukturen nicht ausgelegt. Erfahrungen großer Provider wie Cloudflare zeigen, dass unerwartete Protokolländerungen und Paketgrößen immer wieder zu Verbindungsabbrüchen führen können. Damit droht ein Szenario, in dem zwar die Kryptographie quantensicher ist, die praktische Nutzbarkeit des Webs aber leidet.
Merkle Tree Certificates: kompakte, quantensichere PKI für HTTPS
Wie Merkle-Bäume Zertifikate schrumpfen lassen
Um den Spagat zwischen Quantensicherheit und kompakten TLS-Zertifikaten zu schaffen, setzen Google und Cloudflare auf Merkle Tree Certificates. Technische Grundlage ist der Merkle-Baum – eine hierarchische Hash-Struktur, die sich in Blockchains, Log-Systemen und verteilten Speichersystemen bewährt hat. Ein Merkle-Baum fasst eine große Menge einzelner Datensätze in einem einzigen kryptographischen Hash, der sogenannten Wurzel oder dem Tree Head, zusammen.
In der klassischen X.509-Welt muss bei jedem TLS-Handshake die komplette Zertifikatskette übertragen und geprüft werden. Bei MTC generiert die Zertifizierungsstelle stattdessen einen großen Merkle-Baum, in dem jede Zertifikatseinheit ein Blatt bildet. Nur die Wurzel des Baums wird mit einem postquanten-sicheren Signaturalgorithmus signiert. Der Browser erhält beim Verbindungsaufbau nicht mehr die komplette Kette, sondern ein kompaktes „Proof of Inclusion“, also einen kurzen Nachweis dafür, dass das präsentierte Zertifikat zu einem Blatt dieses Merkle-Baums gehört.
Dadurch wird die eigentliche Größe der PQ-Signatur von der Menge der übertragenen Daten entkoppelt. Selbst wenn die Wurzel mit einer sehr großen postquanten Signatur versehen ist, muss der Browser diese Signatur nur einmalig pro Baum prüfen. Für den TLS-Handshake bleiben die Datenmengen in etwa in der gleichen Größenordnung wie heute – rund 4 KByte. Das reduziert das Risiko von Latenzspitzen, Paketfragmentierung und Inkompatibilitäten mit bestehender Infrastruktur und erleichtert eine schrittweise Migration zu quantensicheren HTTPS-Zertifikaten.
Chrome Quantum-resistant Root Store: neues Vertrauensmodell für PQ-Zertifikate
Zur Unterstützung von MTC führt Google ein separates Chrome Quantum-resistant Root Store (CQRS) ein. Dieses neue Root-Store-Ökosystem dient explizit als Vertrauensanker für quantensichere Merkle Tree Certificates und ergänzt das bisherige Chrome Root Store, ohne es zu ersetzen. Die Trennung erlaubt es, Richtlinien, Audit-Anforderungen und Kompatibilitätsregeln speziell auf die Besonderheiten der Postquanten-Kryptographie zuzuschneiden.
Ein wichtiger Designentscheid: Im CQRS sollen keine klassischen X.509-Zertifikate mit direkt integrierter Postquanten-Kryptographie aufgenommen werden. Quantensichere Zertifikate werden in der Chrome-Ökosphäre zunächst ausschließlich im MTC-Format zugelassen. Dies reduziert die Komplexität im Browser, vermeidet die parallele Pflege mehrerer inkompatibler PQC-Zertifikatsformate und erleichtert die Durchsetzung konsistenter Sicherheits- und Transparenzanforderungen.
Cloudflare, Roadmap bis 2027 und Standardisierung durch IETF PLANTS
Die praktische Erprobung von Merkle Tree Certificates hat bereits begonnen. Chrome enthält experimentellen Support für MTC, und Cloudflare verwendet nach eigenen Angaben rund tausend TLS-Zertifikate im Realbetrieb zu Testzwecken. In der aktuellen Phase betreibt Cloudflare die MTC-Logs selbst. Perspektivisch sollen unabhängige Zertifizierungsstellen und Certificate-Transparency-Logbetreiber diese Aufgabe übernehmen, um eine mit dem heutigen CT-Ökosystem vergleichbare Überwachbarkeit zu erreichen.
Google skizziert einen dreistufigen Einführungsplan: In der bereits laufenden Phase 1 untersuchen Google und Cloudflare gemeinsam Performance, Interoperabilität und Robustheit von MTC, einschließlich Auswirkungen auf Handshake-Größe, Latenz und Middleboxes. In Phase 2, angesetzt auf das 1. Quartal 2027, sollen Betreiber von Certificate-Transparency-Logs eingebunden werden, um öffentliche MTC-Journale bereitzustellen. Phase 3, geplant für das 3. Quartal 2027, sieht die Finalisierung der Anforderungen für neue Zertifizierungsstellen vor, die in das CQRS aufgenommen werden wollen. Damit würde sich das Ökosystem quantensicherer Zertifikate für Chrome in Richtung eines offenen Marktumfelds bewegen.
Die Koordination der technischen Spezifikationen übernimmt die neu gegründete IETF-Arbeitsgruppe PLANTS (PKI, Logs, And Tree Signatures). Sie soll Protokolle und Standards definieren, mit denen Merkle-Bäume und andere Baum-Signaturverfahren nicht nur in Chrome, sondern auch in anderen Browsern, Betriebssystemen und Unternehmens-PKI-Strukturen eingesetzt werden können. Für Betreiber großer Webplattformen, Cloud-Infrastrukturen und interner PKI-Systeme ergibt sich daraus ein klarer Handlungsauftrag: jetzt Bestandsaufnahme der eingesetzten Kryptographie durchführen, Browser-Roadmaps genau verfolgen und Postquanten-Lösungen in Pilotumgebungen testen. Wer frühzeitig Erfahrungen mit quantensicheren TLS-Zertifikaten und MTC sammelt, reduziert das Risiko, in einigen Jahren unvorbereitet vor einer „kryptographischen Kluft“ zu stehen, wenn klassische Verfahren nicht mehr als ausreichend sicher gelten.
