無料で自動化されたTLS証明書を発行する認証局のLet's Encryptは2026年6月3日、ポスト量子時代に向けて「マークルツリー証明書(MTCs)」を採用する計画を発表しました。

A Post-Quantum Future for Let's Encrypt - Let's Encrypt

https://letsencrypt.org/2026/06/03/pq-certs

量子コンピューターが実用化されると、広く使われている暗号技術の一部が破られる可能性があります。特に通信の暗号化においては、攻撃者が暗号化された通信内容を量子コンピューターの実用化前から保存しておき、いずれ実用化された際に解読を試みる「HNDL攻撃」という攻撃のリスクが指摘されています。

一方で、Let's Encryptの守備範囲である「ウェブサイトの正当性認証」においては、「偽のサーバーを本物に見せかけるには接続中に署名を偽造する必要がある」という事情があり、HNDL攻撃の心配はなく通信の暗号化ほど量子対策を急ぐ必要はないと考えられてきました。

しかし、Let's Encryptは「Web PKI全体の仕組みを切り替えるには標準化やソフトウェア対応などに長い時間がかかる」という事情を踏まえ、証明書においてもポスト量子認証への対応を迅速に進める必要性を主張しています。

記事作成時点で広く使われているECDSAやRSAといった署名方式はTLSハンドシェイクを数百バイトから2KB程度の通信で行う事ができますが、量子コンピューターに強い署名方式であるML-DSA-44などを使うと最悪の場合10KB以上の通信が必要になるという弱点があります。ウェブサイトにアクセスするたびに行われるTLSハンドシェイクで証明書チェーンの情報が大きくなると、接続の遅延や失敗につながる可能性が高まります。



そこでLet's Encryptが注目しているのがマークルツリー証明書です。従来の証明書発行では認証局が証明書を1枚ずつ発行してそれぞれに署名していましたが、マークルツリー証明書では複数の証明書をまとめて扱い、証明書の集まり全体を1つの署名でカバーします。

「マークルツリー」とは、大量のデータを木構造にまとめ、あるデータが確かに含まれていることを短い証明で確認できる仕組み。マークルツリー証明書では、証明書の正当性を確認するために必要なデータ量を減らせるため、ポスト量子署名を導入してもTLSハンドシェイクの通信量増加を抑えられるというわけです。

従来型のポスト量子証明書を使用する場合とマークルツリー証明書を使用した場合の通信量の比較は以下の通り。マークルツリー証明書を使うことで約10分の1まで通信量を減らせます。



Let's Encryptの計画では、マークルツリー証明書を発行できるステージング環境を2026年後半に用意し、2027年には本番利用に対応できる環境を目指すと述べています。

マークルツリー証明書を導入するには、証明書を自動取得するACMEプロトコル、失効処理、運用ツール、透明性ログ基盤などの対応が必要です。Let's EncryptはIETFのPLANTSワーキンググループやACMEワーキンググループに参加し、標準化の進展を追っているとのこと。

ただし、こうした変更は主に証明書発行基盤や関連ソフトウェア側の対応で、Let's Encryptの利用者側で記事作成時点に必要な作業はない模様。ポスト量子証明書が利用可能になった場合も、無料かつ自動化された証明書発行サービスとして、ACMEクライアントを利用する誰でも利用できる形で提供する方針だとしています。