先说几个核心背景。Let's Encrypt,这个由互联网安全研究小组(ISRG)运营的非营利证书颁发机构,刚在6月3号发布了一项通知:为了迎接量子计算时代的Web认证,他们正式推出了Merkle Tree Certificates(默克尔树证书)采纳计划。
这家机构绝非等闲之辈——目前全球超过3亿个网站都在使用它的服务,稳坐证书颁发机构头把交椅。那么为何突然要推行默克尔树证书?简单来说,量子计算机一旦真正成熟,RSA、ECDSA这类传统签名方式可能瞬间变得不堪一击。与其到时手忙脚乱,不如提前铺好道路,把标准、软件和基础设施的适配问题全部解决掉。
问题在于,后量子签名方案的代价相当高昂。举一个具体数字:现在使用RSA或ECDSA签名,TLS握手时也就几百字节到2KB。但如果换成ML-DSA-44这种抗量子签名算法,最坏情况下证书链可能超过10KB。直接翻了十倍还多,网页连接变慢、失败率上升几乎是必然的。
默克尔树证书的思路恰恰高明在这里——将多张证书打包成一个集合,用一个签名覆盖整个集合。客户端无需为每张证书单独验证完整签名,只要确认某张证书确实包含在树里即可。这样一来,后量子签名带来的额外通信开销就能大幅压缩。

从Let's Encrypt给出的对比数据来看,默克尔树证书可以把通信量压缩到传统后量子证书方案的大约十分之一。这绝非小进步,意味着实际部署中性能瓶颈能得到有效缓解。

按照规划,他们会在2026年下半年推出可签发这种证书的测试环境,2027年完成生产环境部署。时间表不算紧迫,但也足够让人意识到:后量子迁移这件事,确实该提上日程了。
