Поява квантових обчислювальних систем ставить під загрозу чинні криптографічні механізми захисту HTTPS‑з’єднань. На цьому тлі Google оприлюднила детальну стратегію переходу Chrome до квантовостійких сертифікатів, базованих на новій схемі Merkle Tree Certificates (MTC). Разом з Cloudflare компанія вже тестує цю модель у реальному трафіку, намагаючись поєднати підвищену криптостійкість із мінімальним впливом на швидкість TLS‑з’єднань.
Чому постквантові HTTPS‑сертифікати загрожують продуктивності TLS
Сьогоднішня інфраструктура X.509‑сертифікатів спирається переважно на криптографію на еліптичних кривих. Такі ключі та підписи дуже компактні, тому типова ланцюжок сертифікатів «браузер–сервер» зазвичай не перевищує близько 4 КБ. Це дозволяє швидко встановлювати TLS‑хендшейк навіть у мобільних та високозатримкових мережах.
У світі постквантової криптографії ситуація різко змінюється. Перспективні алгоритми класу ML‑DSA, які NIST розглядає як стандарт квантовостійких цифрових підписів, формують відкриті ключі та підписи, що можуть бути в десятки разів більшими, ніж у традиційних схемах. Оцінки показують, що повноцінна постквантова сертифікаційна ланцюжок може стати до 40 разів об’ємнішою за сучасні рішення на еліптичних кривих.
Збільшення обсягу даних безпосередньо впливає на затримку TLS‑хендшейка. Чим більше інформації потрібно передати під час встановлення з’єднання, тим довше триває початковий обмін, особливо в мобільних, супутникових та перевантажених мережах. Практичні спостереження показують, що відчутне уповільнення може підштовхувати користувачів до відмови від шифрування або використання небезпечних обхідних рішень, що підриває загальний рівень безпеки.
Крім того, надмірно великі сертифікати створюють загрозу для сумісності з проміжними мережевими пристроями (middleboxes), зокрема фаєрволами та системами глибокого аналізу трафіку, які спроєктовані під значно компактніші TLS‑структури. У гіршому випадку це призводить до збоїв з’єднання або до примусового зниження рівня захисту.
Merkle Tree Certificates: як дерево Меркла зменшує обсяг квантовостійких сертифікатів
Дерево Меркла як основа квантовостійких підписів
Щоб поєднати квантовостійкість і прийнятний розмір даних, Google і Cloudflare запропонували модель Merkle Tree Certificates. В її основі — структура дерева Меркла, добре відома з блокчейн‑систем, протоколів прозорості сертифікатів та розподілених журналів.
На відміну від класичної PKI, де кожна X.509‑ланцюжок повністю передається при кожному TLS‑хендшейку, в MTC центри сертифікації формують велике дерево, де окремі сертифікати є листами. Кореневий елемент дерева — Tree Head — є одним криптографічним гешем, який узагальнює потенційно мільйони сертифікатів. Саме цей корінь разово підписується постквантовим алгоритмом.
Компактне доказування належності замість громіздких ланцюжків
Під час встановлення HTTPS‑з’єднання браузеру не потрібно отримувати й перевіряти повний ланцюжок постквантових сертифікатів. Сервер надсилає компактне доказування включення (proof of inclusion) конкретного сертифіката в дерево Меркла. Браузер, маючи довірений Tree Head, відновлює геш‑шлях і перевіряє, що сертифікат реально входить до підписаного набору.
Такий підхід розділяє криптографічну стійкість і обсяг переданих даних. Постквантова підпис усього дерева залишається сильною щодо квантових атак, але при цьому розмір інформації, яку потрібно передати під час TLS‑хендшейка, зберігається приблизно на рівні тих самих 4 КБ, характерних для поточних HTTPS‑сертифікатів. Це мінімізує вплив міграції на постквантову криптографію на час завантаження сторінок і знижує ймовірність збоїв у вже розгорнутій інфраструктурі.
Chrome Quantum-resistant Root Store: окреме кореневе сховище для квантовостійких MTC
Для підтримки Merkle Tree Certificates Google створює нове кореневе сховище Chrome Quantum-resistant Root Store (CQRS), призначене саме для квантовостійких MTC‑сертифікатів. Воно доповнюватиме чинне Chrome Root Store, але не замінюватиме його.
Принципове рішення Google полягає в тому, що у CQRS не планується розміщувати класичні X.509‑сертифікати з постквантовими алгоритмами. На початковому етапі квантовостійкі сертифікати в екосистемі Chrome існуватимуть тільки у форматі Merkle Tree Certificates. Така сегментація спрощує реалізацію політик довіри, скорочує кількість форматів, які необхідно підтримувати одночасно, і зменшує ризики помилок у реалізаціях.
Cloudflare, план впровадження до 2027 року та роль IETF PLANTS
Тестування Merkle Tree Certificates у продакшн‑трафіку
Практичне розгортання MTC вже стартувало. У браузері Chrome реалізовано експериментальну підтримку Merkle Tree Certificates, а Cloudflare задіяла близько тисячі TLS‑сертифікатів у тестовому режимі на реальному трафіку. Поки що журнали MTC веде сама Cloudflare, однак надалі цю функцію мають перебрати на себе незалежні центри сертифікації та оператори логів Certificate Transparency.
Три етапи розгортання квантовостійкої інфраструктури
Google окреслила трирівневий план впровадження:
1‑й етап (триває зараз): спільні дослідження Google і Cloudflare. Аналізуються продуктивність та надійність TLS‑з’єднань із використанням MTC, вплив на розміри хендшейка, затримки та поведінку middlebox‑інфраструктури.
2‑й етап (1 квартал 2027 року): підключення операторів логів Certificate Transparency. Вони відповідатимуть за завантаження й підтримку публічних журналів MTC, що критично для виявлення неправомірно виданих квантовостійких сертифікатів і забезпечення прозорості PKI.
3‑й етап (3 квартал 2027 року): фіналізація вимог до нових центрів сертифікації, які претендують на включення до CQRS. На цій стадії екосистема квантовостійких сертифікатів Chrome стане відкритою для ширшого кола постачальників PKI‑послуг.
Стандартизація в рамках IETF PLANTS
Координацією зусиль займається новостворена робоча група IETF PLANTS (PKI, Logs, And Tree Signatures). Її завдання — розробити стандарти та протоколи для використання дерев Меркла й інших схем підписів дерев не лише в Chrome, а й у інших браузерах, операційних системах та корпоративних рішеннях інформаційної безпеки. Це має забезпечити сумісність реалізацій і уникнути фрагментації ринку постквантової PKI.
Перехід до квантовостійких сертифікатів поступово виходить за межі теоретичних дискусій і перетворюється на масштабний інженерний проєкт. Організаціям, які експлуатують великі веб‑ресурси або власну PKI, доцільно вже зараз провести інвентаризацію використовуваних криптографічних алгоритмів, відслідковувати вимоги браузерів, тестувати постквантові рішення в пілотних середовищах і планувати оновлення сертифікаційної інфраструктури. Своєчасна підготовка зменшить ризик «криптографічного обриву», коли традиційні алгоритми вже не вважаються безпечними, а інфраструктура ще не готова до квантовостійких HTTPS‑сертифікатів.
