Let's Encrypt は 2026 年 6 月 3 日、ポスト量子(PQ)時代に向けた新方式「マークルツリー証明書(MTC)」採用計画を発表した。2026 年後半にステージング、2027 年に本番稼働を目指す。地味に見えるが、Web の根幹である TLS インフラを「ハンドシェイク 1 回 = 署名 1 個」という長年の前提から作り替える話だ。
ML-DSA で TLS が "太る" #
量子計算機が実用化する前に、CRQC(Cryptographically Relevant Quantum Computer)でも破れない署名への移行が必要になる。NIST 標準の中で比較的小さい ML-DSA-44 でも署名サイズは 約 2,420 バイト。現行 ECDSA(P-256)が 70 バイト前後と比べると桁が違う。
問題はサイズ単体ではなく、TLS ハンドシェイクの「証明書チェーン + 中間 CA 署名 + CT SCT」を全て PQ に置き換えると 10KB を優に超える 点にある。MTU を跨ぐ大量パケットは、低帯域回線や組み込み機器で接続失敗率を押し上げる。「移行は必要だが今のままだと Web が遅くなる」という現実的な障害が立ちはだかっていた。
"1 ハンドシェイク = 1 つの所属証明" #
MTC の解はシンプルだ。多数の証明書を マークルツリーにまとめて 1 個の PQ 署名でバッチ署名 し、各ホストが TLS で送るのは「自分のリーフが木に含まれている」という inclusion proof だけにする。handshake で渡るのは「1 署名・1 公開鍵・1 inclusion proof」になり、通信量は素朴な PQ 証明書比で 約 10 分の 1 にまで抑えられる。
副次効果として、Certificate Transparency(CT)が構造に組み込まれる点も大きい。今日の CT は「発行後にログへ送り SCT を貰う」後付けの仕組みで、悪意ある CA がログ外で発行する余地は理屈上残っていた。MTC では木に載らない限り証明書は存在しえず、「ログに無い証明書」が定義上発生しない。標準化は IETF の PLANTS WG で進行中だ。
ハッカー視点:harvest now の "賞味期限" #
PQC 移行は「アルゴリズム差し替え」では済まない。発行モデル・CT・ACME・ブラウザ検証パスまで作り直しになる 10 年がかりの設計判断だ。攻撃者側は harvest now, decrypt later 戦略で現在の TLS を既に蓄積している可能性が高く、2027 年の本番投入は彼らにとって "賞味期限" を測る物差しになる。Let's Encrypt が動けば業界全体が追随する CA エコシステムにおいて、これは記念碑的なマイルストーンだ。
COMMENTS 0
まだコメントはありません。最初のコメントを投稿しよう。