Let's Encrypt規畫2027年建立後量子憑證架構

官方說明，後量子密碼強化近年多半先著重加密與金鑰交換，因為攻擊者可能先蒐集今日加密流量，等量子電腦足以破解既有演算法後再解密。不過，TLS中的身分驗證也需要提早準備，尤其是根憑證機構金鑰、程式碼簽章金鑰與身分系統使用的長期金鑰，一旦之後面臨量子電腦威脅，影響範圍將比一般短期憑證更大。

Let's Encrypt並非單純把既有X.509憑證改用後量子簽章，因為後量子簽章與公開金鑰體積明顯較大，直接替換目前Web PKI常用的RSA或ECDSA簽章，TLS交握需要傳送的驗證資料會大幅增加。Let's Encrypt指出，以ML-DSA-44為例，簽章約2,420位元組，公開金鑰約1,312位元組，高於RSA-2048與ECDSA-P256。典型Web PKI交握要是全面替換為ML-DSA，單次TLS交握資料量可能超過10KB，將影響連線成功率與延遲。

MTC的作法是把憑證批次放進雜湊樹（Merkle Tree），由單一簽章涵蓋整批憑證。瀏覽器會在TLS交握之外另外維持稱為Landmarks的批次簽章資訊，在一般情況下，MTC交握中的身分驗證路徑只需要一個簽章、一個公開金鑰與一個納入證明。Let's Encrypt認為，該設計可在使用後量子演算法的同時，降低憑證驗證資料對TLS交握的負擔。

MTC也會改變憑證透明度的實作方式，現行Certificate Transparency是在憑證簽發流程之外，另行將憑證或預憑證送交透明度紀錄，並透過額外簽章證明讓瀏覽器確認憑證已被記錄。MTC則讓每張憑證本身成為Merkle Tree的一部分，憑證透明度會被納入簽發流程。Let's Encrypt表示，這與該組織多年營運Certificate Transparency紀錄服務的經驗有關，因為CT紀錄服務本身也使用附加式Merkle Tree。

導入MTC需要調整簽發基礎架構、ACME協定、撤銷與營運工具，以及原本由透明度紀錄承擔的相關基礎設施。Let's Encrypt提到，現有憑證目前不受影響，仍會照常簽發與續期，但ACME客戶端維護者，以及仰賴ACME建立憑證自動化工作管線的團隊，應開始關注PLANTS工作小組與MTC相關討論，因為後續部分變更將需要客戶端支援。