企业官网建设流程全解析

语言

[ 英语 ] [ 加泰罗尼亚语 ] [ 捷克语 ] [ 丹麦语 ] [ 德语 ] [ 希腊语 ] [ 西班牙语 ] [ 芬兰语 ] [ 法语 ] [ 希伯来语 ] [ 匈牙利语 ] [ 印尼语 ] [ 意大利语 ] [ 日语 ] [ 韩语 ] [ 波兰语 ] [ 巴西葡萄牙语 ] [ 俄语 ] [ 僧伽罗语 ] [ 塞尔维亚语 ] [ 瑞典语 ] [ 泰米尔语 ] [ 泰语 ] [ 土耳其语 ] [ 乌克兰语 ] [ 越南语 ] [ 简体中文 ] [ 繁体中文 ]

跳过导航链接

[ Let's Encrypt ]

• [ 文档 ]
• [ 获取帮助 ]
• [ 博客 ]
• 捐赠
  • [ 成为赞助商 ]
  • [ 当前赞助商与资助者 ]
  • [ 参与进来 ]
  • [ 捐赠 ]
• 关于我们
  • [ Let's Encrypt ]
  • [ 常见问题解答 (FAQ) ]
  • [ 政策与法律文档库 ]
  • [ 服务状态 ]
  • [ 统计数据 ]
  • [ 联系我们 ]
  • [ 招聘信息 ]
  • [ 年度报告 ]
  • [ 互联网安全研究小组 (ISRG) ]
• [立即捐赠]
• [立即捐赠]
• [博客]

Let's Encrypt的后量子未来

Let's Encrypt致力于打造一个后量子安全的Web PKI。计划采用的方案是Merkle树证书（“MTCs”），这是全新方法，能在不牺牲TLS普及性所依赖的速度和可靠性的前提下，为网络添加后量子认证。本文将介绍这些计划，以及认为MTCs值得作为后量子未来关键技术来探索的原因。

日益紧迫的问题

过去几年，后量子密码学讨论主要围绕加密展开。原因很简单：攻击者记录如今加密流量，可能在几年后，当量子计算机能破解底层数学算法时，对其进行解密。而TLS中用于验证服务器身份的认证环节，紧迫性相对较低。因为量子计算机需实时伪造签名，而非事后追溯，所以认证面临的威胁取决于是否存在具有密码学意义的量子计算机（CRQC）。然而，这种安全感正逐渐消失。在美国，自2022年起，美国国家安全局（NSA）的CNSA 2.0套件就已指导国家安全系统在2030 - 2035年期间采用后量子算法。NIST的过渡指导草案则计划在2030年后弃用RSA - 2048和P - 256，2035年后禁止使用。欧盟的路线图目标是在2030年底前完成高风险系统的升级，并在2035年前实现广泛迁移。这些规定虽未直接约束公共Web PKI，但为其所依赖的供应商、库和标准组织设定了十年末的时间线，相关工作已经在推进。今年，时间线进一步提前。谷歌宣布将在2029年前迁移其服务，理由是CRQC可能到来的时间估计更加紧迫。Cloudflare也紧随其后做出了类似承诺。此外，Go 1.27将NIST标准化的后量子签名方案ML - DSA添加到标准库中，这表明后量子签名正逐渐成为实用的基础设施。后量子认证不再是Web PKI生态系统可以推迟解决的问题。长期有效的密钥（根证书颁发机构、代码签名密钥、身份系统）是特别有价值的攻击目标，而且新技术需要数年时间才能广泛应用，因此相关工作必须尽早开展。

Web PKI的独特情况

Web PKI是部署后量子签名最具挑战性的场景之一，原因在于签名和密钥的大小。ML - DSA - 44是较小的NIST标准化后量子签名方案之一，其签名长度约为2420字节。而如今Web PKI中使用的算法签名要小得多，RSA - 2048签名为256字节，ECDSA - P256签名为64字节。公钥大小也有差异，ML - DSA - 44的公钥为1312字节，RSA - 2048为256字节，ECDSA - P256为64字节。目前，一次典型的Web PKI握手包含五个签名和两个公钥。若用ML - DSA替代，一次TLS握手的数据量将轻松超过10千字节。Cloudflare的研究表明，在这种规模下，现实网络中相当一部分TLS连接会失败，其余连接速度也会变慢。更大的握手数据量不仅会影响那些可能失败的TLS连接，还会导致带宽受限、连接变慢，给用户带来更差的体验，而这一切只是为了防范尚未出现的威胁。默认启用这种方案成本过高，而默认设置才是推动网络安全大规模发展的关键。

Merkle树证书

过去一年里，一种名为Merkle树证书（“MTCs”）的新设计逐渐崭露头角，认为它是后量子Web PKI的理想发展方向。MTC证书颁发机构不再逐个颁发证书并分别签名，而是批量颁发证书，用一个签名覆盖整个批次。浏览器会独立于TLS握手，单独更新这些批次签名（称为“里程碑”）。通常情况下，MTC握手的整个认证路径仅包含一个签名、一个公钥和一个包含证明。即便MTC使用后量子算法，其数据量也比如今的Web PKI握手小。另一种“独立”形式则是在客户端的里程碑信息过时的情况下，作为备用方案使用稍大的握手数据量。MTC的优势不仅在于优化数据大小。由于每个证书都是已发布Merkle树的一部分，证书发行本身就具备了透明度。如今的证书透明度生态系统是事后添加的：证书由CA颁发，然后单独记录，TLS握手中还需额外的签名来证明记录情况。而使用MTC，证书无法脱离Merkle树存在，证书透明度是内置的。这对来说并非全新领域。自2019年起，Let's Encrypt就开始运营证书透明度日志。这些日志是只追加的Merkle树，与MTC的核心数据结构相同，并且已经在生产环境中大规模运行多年。Cloudflare和Chrome已经针对真实互联网流量开展了MTC的可行性实验。IETF的PLANTS工作组正在对该设计进行标准化。Chrome宣布，MTC是其为公共网络添加后量子证书的首选方案。

我们的计划

计划将Merkle树证书作为后量子Web PKI的发展方向。目标是在2026年底搭建一个颁发MTC的测试环境，并在2027年推出生产就绪的环境。这并非一项简单的工作。要在Let's Encrypt的规模下颁发MTC，需要对整个技术栈进行重大更改，包括证书颁发基础设施、用户获取证书使用的ACME协议、撤销和运营工具，以及MTC所涵盖的透明度日志基础设施。随着标准的逐步形成，一直在参与IETF PLANTS和ACME工作组的工作。在开展MTC工作的同时，也在关注X.509中ML - DSA签名的标准和TLS标准，以及相关的生态系统工作，比如将ML - DSA添加到Go标准库。无论最终颁发的证书是MTC还是ML - DSA签名的X.509证书，Web PKI向后量子安全的过渡都需要这些标准在浏览器、库和ACME客户端中落地。

使用Let's Encrypt的影响

目前一切照旧。现有的Let's Encrypt证书将继续按照以往的方式颁发和续订。当Let's Encrypt推出后量子证书时，它们将延续服务的一贯风格：免费、自动化，任何拥有ACME客户端的用户都可以使用。过渡需要时间。相关标准仍在最终确定中，根证书计划也在明确要求，而且在大规模应用之前，还需要在更广泛的生态系统（浏览器、库、ACME客户端）中完成工程工作。随着工作的推进和时间线的明确，会及时向社区通报情况。如果维护ACME客户端或运行基于ACME的证书流程，现在是开始关注PLANTS工作组的工作以及mtcs@chromium.org邮件列表讨论的好时机。即将到来的一些更改需要客户端的支持，当证书颁发端准备好时，做好准备的客户端将使整个生态系统受益。

关于更广泛的后量子过渡

对于更广泛的互联网社区来说，后量子加密是更紧迫的问题，因为任何未采用后量子密钥交换的TLS连接都可能被收集起来，以便日后解密。如果运营服务器，请确保它们支持混合后量子密钥交换（X25519MLKEM768）。主流浏览器和操作系统已经支持该功能，在服务器端启用它是今年能做的最有价值的事情之一。

结语

自2013年以来，一直秉持安全应免费、自动且人人可及的原则，为公共网络构建基础设施。量子过渡是安全技术底层机制的一次代际变革。

支持我们的工作

ISRG是一家501(c)(3)非营利组织，完全依靠认同普及开放互联网安全愿景的人士的慷慨支持。如果想支持工作，请考虑参与进来、捐赠，或者鼓励公司成为赞助商。

Let's Encrypt是由非营利组织互联网安全研究小组提供的免费、自动化且开放的证书颁发机构。可以在2025年度报告中了解今年的非营利工作详情。

法定地址

548 Market St, PMB 77519
San Francisco, CA 94104 - 5401
USA

所有邮件或咨询请发送至

PO Box 18666
Minneapolis, MN 55418 - 0666
USA

订阅Let's Encrypt和其他ISRG项目的电子邮件更新

• [ GitHub ]
• [ LinkedIn ]
• [ 使用条款 ]
• [ 隐私政策 ]
• [ 商标政策 ]