I computer quantistici fanno paura: Let's Encrypt cambia i certificati digitali sul web

La sicurezza delle operazioni che si compiono online ogni giorno dipende da un equilibrio delicato: crittografia robusta, certificati affidabili e procedure che funzionano su miliardi di connessioni ogni giorno. L’arrivo di computer quantistici sufficientemente potenti da compromettere gli algoritmi crittografici oggi utilizzati ha trasformato una questione teorica in un tema da non prendere più sotto gamba.

Organizzazioni come NIST, NSA e Unione Europea hanno già definito calendari di transizione che puntano a ridurre progressivamente la dipendenza da algoritmi crittografici come RSA ed ECC tradizionali entro il prossimo decennio. Di recente vi abbiamo parlato dell’algoritmo SPQR usato da Signal per proteggere la messaggistica dagli attacchi quantistici.

Let’s Encrypt, autorità di certificazione che offre certificati digitali gratuiti per mettere in sicurezza le connessioni cifrate HTTPS su milioni di siti web, ha delineato una delle iniziative più ambiziose mai proposte per il futuro della PKI pubblica: l’adozione dei Merkle Tree Certificates, o MTC, come base per un’infrastruttura resistente agli attacchi quantistici.

Perché la minaccia quantistica non riguarda più soltanto la cifratura

Per diversi anni la discussione sulla crittografia post-quantum si è concentrata quasi esclusivamente sulla protezione dei dati cifrati: un aggressore può intercettare oggi comunicazioni HTTPS e conservarle, attendendo l’arrivo di un computer quantistico capace di decifrarle (approccio harvest now, decrypt later).

Gli aspetti relativi ai meccanismi di autenticazione sembravano invece meno urgenti: per falsificare un certificato TLS serve infatti generare firme valide in tempo reale, operazione possibile soltanto quando saranno disponibili sistemi quantistici realmente capaci di attaccare gli algoritmi attuali. Tuttavia la situazione sta cambiando rapidamente.

Le linee guida governative statunitensi CNSA 2.0 e le bozze di transizione pubblicate dal NIST prevedono la graduale eliminazione di algoritmi come RSA-2048 e P-256 entro il 2035. Anche l’Unione Europea ha definito obiettivi simili per infrastrutture critiche e sistemi ad alto rischio.

Alcuni grandi operatori hanno accelerato i tempi: Google ha annunciato l’intenzione di completare la migrazione interna entro il 2029, mentre Cloudflare ha espresso un impegno analogo. Parallelamente il linguaggio Go, attraverso la versione 1.27, introduce il supporto nativo a ML-DSA, uno degli algoritmi di firma post-quantum standardizzati da NIST.

Il problema nascosto delle firme post-quantum

La sostituzione degli algoritmi attuali con equivalenti resistenti ai computer quantistici appare intuitiva, ma nella pratica emergono limiti importanti. Le firme digitali post-quantum risultano molto più ingombranti rispetto alle firme ECDSA o RSA impiegate oggi.

Un esempio concreto riguarda ML-DSA-44: una firma di questo tipo occupa circa 2.420 byte; una ECDSA P-256 richiede invece appena 64 byte, mentre una firma RSA-2048 ne utilizza 256. Anche le chiavi pubbliche crescono sensibilmente: oltre 1.300 byte per ML-DSA-44 contro poche decine o centinaia di byte degli algoritmi tradizionali.

Una normale connessione TLS include più firme e diverse chiavi pubbliche distribuite lungo la catena di certificazione. Sostituire ogni elemento con una controparte post-quantum porterebbe facilmente l’handshake oltre i 10 KB. Può sembrare poco, ma studi effettuati da Cloudflare mostrano che l’aumento delle dimensioni dell’handshake provoca rallentamenti e incrementa il numero di connessioni che falliscono su reti mobili, collegamenti instabili o infrastrutture obsolete.

Il web pubblico vive di compatibilità: una soluzione che penalizza anche una piccola percentuale di utenti rischia di rallentare l’adozione su larga scala.

Come funzionano i Merkle Tree Certificates

La proposta sostenuta da Let’s Encrypt cambia radicalmente il modello di emissione dei certificati digitali. Invece di firmare singolarmente ogni certificato X.509, l’autorità di certificazione genera grandi insiemi di certificati e li organizza all’interno di un Merkle Tree, una struttura dati crittografica già utilizzata in numerosi sistemi di verifica dell’integrità.

Una singola firma protegge l’intero gruppo di certificati: i browser mantengono aggiornati separatamente i riferimenti necessari a verificare tali strutture, denominati landmarks. Durante l’handshake TLS non serve quindi trasmettere l’intera catena tradizionale di certificazione.

In pratica il client riceve una firma, una chiave pubblica e una prova di inclusione nel Merkle Tree. Nonostante l’uso di algoritmi post-quantum, la quantità di dati trasferita può risultare inferiore a quella delle infrastrutture TLS tradizionali!

Il progetto prevede anche una modalità standalone destinata a gestire i casi in cui il browser non possieda informazioni aggiornate sui landmarks. In tale situazione l’handshake cresce leggermente, ma continua a mantenere dimensioni considerate sostenibili.

Chrome e Cloudflare stanno già conducendo test su traffico reale per verificare il comportamento degli MTC in condizioni operative. Parallelamente il gruppo di lavoro PLANTS dell’IETF sta sviluppando le specifiche necessarie alla standardizzazione del modello. Chrome ha inoltre indicato pubblicamente gli MTC come il percorso preferenziale per introdurre certificati post-quantum nel web pubblico.

Le tempistiche previste da Let’s Encrypt

L’organizzazione ha indicato la seconda metà del 2026 come obiettivo per un ambiente di test capace di emettere Merkle Tree Certificates. La disponibilità di una piattaforma pronta per la produzione dovrebbe arrivare nel corso del 2027.

Dietro queste date si nasconde un lavoro considerevole: sarà necessario modificare l’infrastruttura di emissione, aggiornare il protocollo ACME, ridefinire i meccanismi di revoca e integrare nuove funzionalità nelle componenti che oggi gestiscono i log di trasparenza. Non si tratta di un semplice aggiornamento software ma di una revisione profonda di una delle infrastrutture più utilizzate dell’intera Internet pubblica.

Per chi utilizza Let’s Encrypt non cambia nulla nell’immediato: i certificati attuali continuano a essere emessi e rinnovati normalmente. Tuttavia la transizione verso la crittografia post-quantum richiede preparazione.

Gli operatori dovrebbero già verificare il supporto agli schemi di scambio chiavi ibridi come X25519MLKEM768, considerati una delle misure più efficaci per proteggere il traffico da attacchi di tipo harvest now, decrypt later. Browser moderni e sistemi operativi recenti supportano già queste tecnologie; spesso manca soltanto l’abilitazione lato server.