Chrome推出量子安全HTTPS计划：采用Merkle树证书

Chrome通过Merkle树证书推进量子安全HTTPS

美国加利福尼亚州山景城 – Chrome安全网络团队近日宣布启动一项新计划，旨在通过**Merkle树证书（Merkle Tree Certificates, MTCs）**为HTTPS证书提供量子计算威胁的防护。该计划采用MTCs作为传统X.509证书的轻量化替代方案，以缓解后量子密码学（Post-Quantum Cryptography, PQC）在TLS连接中带来的性能挑战。

技术概览：MTCs的优势

量子抗性算法通常具有更大的密钥尺寸，可能增加带宽负担并降低TLS握手性能。MTCs通过用紧凑的Merkle树证明替代序列化证书链来解决这一问题。具体模型如下：

• **认证机构（Certification Authority, CA）**签署一个代表数百万证书的单一“树头”（Tree Head）。
• 浏览器仅接收树中的轻量化包含证明，从而显著减少数据传输量。

MTCs的主要优势包括：

• 带宽效率：最大限度减少TLS握手开销，保持性能。
• 内置透明度：证书必须包含在公开树中才能颁发，无需单独的证书透明度（Certificate Transparency, CT）日志。
• 解耦安全性：将密码强度与传输数据大小分离，实现PQC的无缝采用。

部署阶段：Chrome的量子抗性路线图

Chrome的MTCs部署将分为三个阶段进行：

阶段1（已启动）：可行性测试

• 与Cloudflare合作，评估MTCs在实际TLS连接中的性能。
• 所有基于MTCs的连接均以传统X.509证书作为故障安全备份，确保稳定性。

阶段2（2027年第一季度）：公共MTCs引导

• 邀请CT日志运营商（截至2026年2月1日在Chrome中至少拥有一个“可用”日志）参与。
• 这些运营商将协助建立MTCs颁发的初始基础设施，利用其现有的高可用CT基础设施。

阶段3（2027年第三季度）：Chrome量子抗性根存储（CQRS）

• 推出专用于MTCs的专用根存储，与Chrome现有根程序并行运行。
• 网站将可选择加入降级保护，启用仅量子抗性证书。
• 最终确定MTC CA入驻要求，包括组织展示运营卓越性的途径。

政策与生态系统演进

Google的计划强调TLS基础设施的安全性、简洁性和透明度。拟议的政策变更包括：

• 仅ACME工作流程：简化证书颁发流程，增强密码灵活性。
• 现代化吊销框架：用以密钥泄露为重点的机制替代传统的证书吊销列表（CRLs）。
• 可复现的域控制验证（Domain Control Validation, DCV）：允许公众验证域名所有权。
• 基于性能的CA纳入：优先考虑已证明可靠性的运营商作为镜像联合签名者（Mirroring Cosigners）和DCV监控者。
• 持续监控：替代年度第三方审计，实现实时监督。

影响与后续步骤

尽管Chrome目前尚无计划将支持PQC的X.509证书添加到其根存储中，但团队将在今年晚些时候支持其在私有PKI中的使用。长期目标是在不牺牲性能或安全性的前提下，构建一个量子抗性的网络。

随着计划的推进，Chrome将继续与IETF、C2SP及其他标准机构合作，完善MTCs规范和政策框架。有意成为Chrome信任的MTC CA的组织，建议关注即将发布的政策公告。

更多详情，请参阅PLANTS IETF工作组及Merkle树证书草案。