Pour sécuriser les certificats HTTS de Chrome contre les attaques d’ordinateurs quantiques, Google introduit un nouveau programme. Avec des algorithmes post-quantiques volumineux et susceptibles de ralentir la navigation, le choix est fait de ne pas les intégrer directement dans les certificats X.509 traditionnels. La solution passe par les Merkle Tree Certificates (MTC).
Qu’est-ce que la technologie MTC ?
Les MTCs sont développés en collaboration avec des partenaires comme Cloudflare au sein du groupe de travail PLANTS de l’IETF. Au lieu d’une lourde chaîne de signatures, une Autorité de Certification signe une seule » tête d’arbre » représentant des millions de certificats. Le navigateur ne reçoit alors qu’une preuve cryptographique légère de l’inclusion du site dans cet arbre.
Cette approche résout le problème de la taille des algorithmes post-quantiques et » découple la force de sécurité de l’algorithme cryptographique de la taille des données transmises à l’utilisateur « .
Un autre avantage est que la transparence, actuellement assurée par des systèmes additionnels comme Certificate Transparency, devient une propriété fondamentale. Il est impossible de créer un certificat sans l’inclure dans un arbre public.
Quel est le calendrier de déploiement ?
Le déploiement se déroulera en trois phases distinctes. Déjà en cours, la phase 1 est une étude de faisabilité menée avec Cloudflare pour évaluer les performances et la sécurité des connexions MTC en conditions réelles. Pour garantir la sécurité des utilisateurs, chaque connexion MTC est doublée d’un certificat X.509 classique.
La phase 2, prévue pour le premier trimestre 2027, invitera les opérateurs de logs de Certificate Transparency à participer à la mise en place des premiers MTCs publics.
La phase 3, attendue au troisième trimestre 2027, verra la finalisation des exigences pour un nouveau store de confiance, le Chrome Quantum-resistant Root Store, qui fonctionnera en parallèle de l’actuel Chrome Root Program.
Agir avant la concrétisation de la menace quantique
Google envisage d’aller plus loin en promouvant des flux de travail basés sur ACME pour simplifier l’émission de certificats, un cadre modernisé pour la révocation, une validation de contrôle de domaine reproductible et publiquement vérifiable.