Let's Encrypt ha anunciado que apostará por los certificados Merkle Tree (MTC) como vía para dotar a la infraestructura de clave pública de la web (Web PKI) de resistencia frente a la computación cuántica. La organización, que emite de forma gratuita la inmensa mayoría de los certificados TLS del internet actual, prevé desplegar un entorno de pruebas a finales de 2026 y un sistema listo para producción en 2027, según detalla en un comunicado publicado en su blog oficial.
La decisión responde a una aceleración del calendario de transición hacia la criptografía post-cuántica. Aunque durante años la comunidad centró el debate en proteger el cifrado del tráfico frente al almacenamiento masivo de datos con descifrado futuro, la amenaza sobre la autenticación —la parte de TLS que garantiza que un servidor es quien dice ser— ha ganado peso ante las estimaciones de que un computador cuánticamente relevante (CRQC) podría estar más cerca de lo previsto. A ello se suman los plazos regulatorios: la suite CNSA 2.0 de la NSA estadounidense fija la migración de los sistemas de seguridad nacional entre 2030 y 2035, mientras que el borrador de transición del NIST prevé deprecar RSA-2048 y P-256 después de 2030 y prohibirlos tras 2035. La Unión Europea, por su parte, apunta a migrar los sistemas de alto riesgo antes de finales de 2030 y completar el proceso en 2035, según la hoja de ruta coordinada publicada por la Comisión Europea.
El sector privado ha acelerado también sus compromisos. Google anunció este año que migrará sus servicios a criptografía post-cuántica antes de 2029, y Cloudflare asumió un compromiso paralelo. Además, la próxima versión del lenguaje Go (1.27) incorporará ML-DSA —uno de los esquemas de firma post-cuántica estandarizados por el NIST— a su biblioteca estándar, una señal de que las firmas post-cuánticas empiezan a considerarse infraestructura práctica y no experimental.
El principal obstáculo técnico es el tamaño. Como explica Let's Encrypt, las firmas de ML-DSA-44 rondan los 2.420 bytes, frente a los 256 bytes de RSA-2048 o los 64 de ECDSA-P256, y las claves públicas también son sensiblemente mayores. Un handshake TLS actual transporta cinco firmas y dos claves públicas; reemplazarlas por sus equivalentes post-cuánticos dispararía el intercambio por encima de los 10 kilobytes. Investigaciones de Cloudflare han demostrado que, a esa escala, una proporción significativa de conexiones TLS falla en redes reales y el resto se ralentiza notablemente.
Los certificados Merkle Tree ofrecen una alternativa estructural. En lugar de firmar cada certificado de forma individual, una autoridad de certificación MTC emite certificados en lotes cubiertos por una única firma, conocida como "landmark". Los navegadores mantienen actualizada esa información por separado del handshake TLS, de modo que en el caso común la autenticación se reduce a una firma, una clave pública y una prueba de inclusión: un intercambio más ligero que el actual, aun empleando algoritmos post-cuánticos. Además, dado que cada certificado forma parte de un árbol de Merkle publicado, la transparencia de certificados deja de ser un sistema añadido a posteriori para convertirse en una propiedad intrínseca de la emisión.
La propuesta no parte de cero. Let's Encrypt opera logs de Certificate Transparency desde 2019 —estructuras de datos basadas precisamente en árboles de Merkle— a escala de producción. Cloudflare y Chrome ya ejecutan un experimento de viabilidad con MTCs frente a tráfico real de internet, y el grupo de trabajo PLANTS del IETF trabaja en la estandarización del diseño. Chrome ha manifestado públicamente que los MTCs son su camino preferido para incorporar certificados post-cuánticos a la web abierta.
El cambio no será inmediato. Let's Encrypt subraya que sus certificados actuales seguirán emitiéndose y renovándose con normalidad, y que la transición requerirá actualizaciones en navegadores, bibliotecas, clientes ACME y programas de raíces antes de que los MTCs sean relevantes a escala. La organización recomienda a quienes mantengan clientes ACME o canalizaciones automatizadas de certificados que comiencen a seguir los trabajos del grupo PLANTS.
En definitiva, la decisión de Let's Encrypt marca un punto de inflexión práctico: la mayor autoridad de certificación del mundo se inclina por una arquitectura que prioriza la sostenibilidad del ecosistema —handshakes ligeros, transparencia integrada, despliegue gradual— frente a la solución más inmediata de sustituir directamente los algoritmos clásicos por ML-DSA. El reloj de la criptografía post-cuántica ya no marca solo los plazos teóricos de los estándares: empieza a dictar la hoja de ruta de la infraestructura cotidiana de internet.