每天,当你访问一个网站时,浏览器与服务器之间都会进行一次复杂的“握手”仪式。这个仪式中,服务器会出示一张数字身份证——SSL/TLS证书,证明自己就是你要访问的那个网站,而不是某个冒名顶替者。这张证书背后,支撑着整个互联网信任体系的基石:公钥基础设施(PKI)。
这套体系成功运行了32年,但它正在逼近极限。第一个压力来自即将到来的量子计算时代。美国已经推出了后量子密码数字签名算法标准,如ML-DSA。但这些新算法的尺寸令人震惊:一个ML-DSA-44的签名就高达2420字节,公钥也有1312字节,而当前广泛使用的ECDSA P-256签名只有64字节。这意味着,如果直接替换,一个典型TLS握手携带的签名和公钥总量将从几百字节暴涨到数十千字节。
第二个压力来自证书透明(CT)。为了检测CA是否滥发证书,浏览器要求每张证书必须被提交到至少两个公共证书透明日志中,并附带日志签名(SCT)在证书中。目前的标准要求每张证书至少附带两个SCT,每个SCT又是一次签名。这相当于在原有基础上又增加了两层签名。
这两个因素叠加,使得未来一张后量子证书的“包装”尺寸可能达到10KB甚至更高。对于每个TLS连接来说,这不仅是网络负担,更是计算负担——签名验签是CPU密集型操作,移动设备、物联网终端将面临显著的性能下降和功耗增加。
更加棘手的是,证书生命周期正在缩短。为了应对证书滥发和密钥泄露风险,以及实现敏捷的后量子密码迁移,行业趋势已将证书有效期从398天缩短到47天,将来甚至更短。这意味着CA的签发频率将提高两个数量级,证书透明日志系统的存储和计算压力呈指数级增长。传统PKI架构中,每张证书都需要独立处理、独立签名、独立入日志库,这种“单件生产”模式在高频签发场景下难以为继。
面对这三重压力,谷歌、Cloudflare等公司联合向IETF提交了一份名为“默克尔树证书”(Merkle Tree Certificates,简称MTC)的新方案。其核心思路可以概括为四个字:化零为整。
在传统模式下,CA每签发一张证书,就要对它进行一次数字签名。MTC的做法是“先入日志,再生成证书”。每个CA必须维护一个自己的日志系统,每签发一张证书,不是直接签名证书本身,而是将证书的核心信息(TBSCertificateLogEntry)作为一条记录追加到日志中。这个日志用Merkle树结构组织——每个叶子节点是一条证书记录,父节点是子节点哈希值的哈希。
关键的一步来了:CA不对单张证书签名,而是定期对树根(Checkpoint)进行签名。一个树根签名,就相当于同时认证了该时刻日志中所有证书的真实性。如果一张证书被篡改,其哈希值会改变,最终导致树根哈希值不匹配,签名验证失败。
客户端如何验证一张具体证书呢?MTC证书本身携带的不是传统签名,而是一个包含证明(Inclusion Proof)——从证书所在叶子节点一路向上到树根的哈希路径。客户端只需要获得可信的树根,就能用这个证明验证证书是否真实存在于CA的日志中。
这里还有一个巧妙的设计:MTC证书支持两种工作模式:
两种模式共存,客户端与服务器通过TLS 1.3扩展自动协商选择最优模式,在性能和兼容性之间取得平衡。
MTC的另一个创新是日志可以“修剪”。传统CT日志必须永久保留所有证书,而MTC允许CA在证书过期后,将日志的早期部分裁剪掉,只保留哈希值作为“存根”。这大大降低了长期存储成本,使得维持高频签发成为可能。这就好比:传统SSL/TLS证书像是每笔交易回单都要找银行盖章,而MTC像是银行每月出一份对账单,客户只需要拿到对账单就能证明所有交易的真实性。
未来已来,新一代互联网安全基座已经浮出水面,全球业界正在为赢得这个世纪商机而悄悄忙碌中,浏览器厂商、CA机构、互联网厂商都有巨大的市场机会,就看谁能看懂了。
MTC目前仍处于IETF草案阶段,但一项由Cloudflare与谷歌Chrome团队主导的三阶段部署计划已经在2025年10月正式启动。
Cloudflare与Chrome合作,在真实互联网流量中测试MTC。目前已有1000个真实网站启用了MTC,覆盖Chrome Beta版约50%的用户流量。每张MTC证书都同时由一张传统受信任的SSL证书作为“安全备胎”,确保即使MTC验证路径出现问题,连接仍然可信。
这个阶段的初步实验成果已于2026年3月16日在IETF 125深圳大会上公布,得出了三个关键结论:
实验团队在PPT中给出的结论是:“MTC有效,并且已在保护真实的互联网流量。”
谷歌将邀请合格的证书透明日志运营者加入,帮助引导公共MTC签发。这意味着MTC将从Cloudflare的单点实验走向多方参与的生态建设,证书透明日志运营者将成为MTC信任网络中的重要节点。
谷歌将正式启动谷歌浏览器量子安全根认证计划-CQRS(Chrome Quantum-resistant Root Store),发布最终的CA接入规则,并建立仅支持MTC的全新量子安全根证书库。这一阶段标志着MTC从实验走向规模化部署。
谷歌CQRS计划已经明确了几个关键原则:
IETF草案为MTC定义了精妙的技术协议,但一个完整的生态系统远不止于此。浏览器如何获取上百个CA每小时产生的地标?CA如何被纳入信任体系?这些问题草案刻意留白,等待生态自然演化。笔者基于对证书透明生态的观察,大胆预测未来MTC生态的几个关键特征:
未来数年内,服务器将同时提供三种证书:传统SSL证书(兼容旧客户端)、MTC地标模式证书(最优性能)、MTC独立模式证书(回退路径)。通过TLS 1.3扩展协商,客户端与服务器将自动选择双方支持的最优模式。这种渐进式部署策略,与TLS 1.3、CT的落地路径高度相似,是互联网基础设施升级的成功经验。
上述预测能否成真,取决于2027年谷歌CQRS细则的最终公布,以及CA、浏览器、聚合器运营者之间的博弈与协作。但可以确定的是,MTC绝非简单的性能优化,它正在重塑互联网信任体系的底层架构。
MTC+CQRS的组合将深刻改变CA的角色。传统CA的核心能力是“保管根签名私钥”、“执行域名验证”和“签发证书”。而在新体系下的变化有:
第一:日志运营成为核心能力。MTC要求每个CA维护自己的公开证书透明日志,日志的可用性、完整性和裁剪策略将直接影响证书的信任度。能够高效运营大规模Merkle树日志的CA将获得竞争优势。
第二:见证者可能催生新业务。MTC依赖第三方“见证者”(Cosigner)来为子树签名,这些见证者可以是独立机构、浏览器厂商或CA自身。提供高可用、地理分布、合规审计的见证服务,可能成为一个独立的细分市场。
第三:域名验证服务与日志深度绑定。由于MTC的证书必须通过日志来证明有效性,CA需要将域名验证过程与日志追加操作原子化处理。这意味着CA的自动化签发系统(如ACME)需要重新设计,以支持“验证即入库”的模式。
第四:小型CA面临整合压力。运营Merkle树日志、维护见证关系、应对高频签发,对技术架构和资金投入提出了更高要求。这可能会加速行业整合,促使小型CA转向“CA即服务”平台,将底层基础设施外包给专业服务商,或者被迫退出CA市场。
第五:量子迁移成为差异化机会。随着量子计算威胁日益临近,能够提供平滑、高效、向后兼容的抗量子证书迁移方案的CA,将在企业客户中获得明显优势。MTC+CQRS的组合恰好为此提供了一个可落地的技术路径。
第六:CA准入迎来新门槛。谷歌CQRS计划将明确:只有通过根证书计划审核、并满足MTC技术要求的CA,才能被纳入地标分发体系。这些要求包括:公开Merkle树日志访问地址、定期生成并签名地标、允许聚合器拉取数据、接受公众审计。全球CA若想继续在新的Web PKI中占有一席之地,必须在规定时限内完成MTC系统改造——这既是挑战,也是洗牌的机会。而对于国内CA而言,由于起步晚,已经完全失去了传统密码算法CA体系的市场机会,是否能抓住这个后量子密码全新体系的机会,就要看各家CA是否能领悟到这个未来50年的世纪商机了。
默克尔树证书不是对传统PKI体系的修修补补,而是一次从“单件生产”到“批量制造”的范式转换。它将证书透明从外部约束内化为系统核心,用Merkle树的数学结构替代了多重签名的堆叠,为后量子密码时代预留了性能空间。
随着2025年底真实环境测试的推进和3月份的初步实验结果的公布,以及2027年谷歌CQRS的正式启动,MTC正在从互联网标准草案走向生产实践。对于CA行业而言,这是一次挑战,更是一次重塑自身价值、拓展服务边界的历史机遇。未来两年,我们将看到第一批公共CA正式接入MTC体系,互联网安全的底层架构,正在静悄悄地进行一次代际跃迁。祝愿中国CA们能及时抓住这个世纪机遇!
