Все статьи о SSL SSL и сертификаты

Постквантовый TLS: что такое квантово-устойчивый HTTPS в 2026 году

Постквантовый TLS — это HTTPS, который остается защищенным даже от атакующего, располагающего мощным квантовым компьютером. Он заменяет математику, лежащую в основе современного обмена ключами (которую квантовый компьютер мог бы взломать), алгоритмами, специально разработанными для противодействия квантовым атакам.

Это не далекий научно-исследовательский проект. По состоянию на середину 2026 года более 65% веб-трафика, создаваемого людьми и проходящего через Cloudflare, уже шифруется постквантовыми алгоритмами, а Chrome, Edge и Firefox по умолчанию согласуют квантово-устойчивый обмен ключами всякий раз, когда сервер это поддерживает. Если вы недавно заходили на Google в современном браузере, вы почти наверняка использовали постквантовый TLS, даже не заметив этого.

Почему классический TLS под угрозой

Современный TLS опирается на два вида математики с открытым ключом:

  • Обмен ключами (ECDHE, с использованием X25519 или P-256) — согласует общий секрет по открытому каналу.
  • Подписи (RSA, ECDSA) — подтверждают подлинность сертификата.

Оба механизма основаны на задачах, которые сложны для классических компьютеров — разложение больших чисел на множители (RSA) и дискретный логарифм на эллиптической кривой (ECC). Алгоритм Шора, запущенный на достаточно мощном квантовом компьютере, эффективно решает обе эти задачи. «Криптографически значимого квантового компьютера» (CRQC) пока не существует, но область развивается достаточно быстро, чтобы планирование сместилось с вопроса «если» к вопросу «когда».

Криптография с открытым ключом → объясняет основополагающую математику, которой угрожают квантовые компьютеры.

«Собрать сейчас, расшифровать потом» — почему это актуально уже сегодня

Может показаться, что спешить некуда: ни один квантовый компьютер сегодня не способен взломать TLS, так зачем переходить прямо сейчас?

Угроза называется «собрать сейчас, расшифровать потом» (harvest now, decrypt later, HNDL). Злоумышленник записывает ваш зашифрованный трафик сегодня и сохраняет его. Когда появится квантовый компьютер — возможно, в 2030-х годах — он задним числом расшифрует сохраненный трафик.

Из-за этого крайний срок для перехода на квантово-устойчивый обмен ключами наступает гораздо раньше появления самих квантовых компьютеров. Любые данные с длительным сроком конфиденциальности — медицинские карты, финансовые данные, государственные тайны, исходный код, учетные данные — нуждаются в квантово-устойчивом шифровании уже сейчас, потому что запись трафика уже ведется.

Обмен ключами — срочно. Подписи — менее срочно. Нельзя задним числом подделать подпись на трафике, который уже произошел: подпись должна стать квантово-устойчивой только до появления квантовых компьютеров, не раньше. Именно поэтому отрасль в первую очередь внедрила постквантовый обмен ключами.

Стандарты: ML-KEM и ML-DSA

В августе 2024 года NIST опубликовал первые финализированные постквантовые стандарты:

СтандартНазваниеРольЧто заменяет
FIPS 203ML-KEM (ранее Kyber)Инкапсуляция ключей (обмен ключами)Обмен ключами ECDHE / RSA
FIPS 204ML-DSA (ранее Dilithium)Цифровые подписиПодписи RSA / ECDSA
FIPS 205SLH-DSA (SPHINCS+)Подписи на основе хеш-функцийКонсервативный резерв для подписей

ML-KEM (Module-Lattice Key Encapsulation Mechanism) — это тот самый алгоритм, который уже внедрен в TLS. Он выпускается в трех размерах: ML-KEM-512, ML-KEM-768 и ML-KEM-1024. ML-KEM-768 — оптимальный вариант, используемый в вебе.

Гибридный обмен ключами: X25519MLKEM768

Браузеры не отказываются от классической криптографии в одночасье, переходя на чистую постквантовую. Это было бы безрассудно: ML-KEM — новый алгоритм, и уязвимость в нем могла бы сломать всё. Вместо этого TLS 1.3 использует гибридный обмен ключами, который сочетает классический и постквантовый алгоритмы.

Именованная группа, которую вы увидите в 2026 году, — это X25519MLKEM768:

X25519MLKEM768 = X25519 (классический ECDHE)  +  ML-KEM-768 (постквантовый)

Два общих секрета конкатенируются (32 байта от X25519 + 32 байта от ML-KEM = объединенный секрет размером 64 байта) и подаются на вход в схему формирования ключей TLS.

Гарантия безопасности звучит как «защищено, если выдерживает хотя бы один из алгоритмов». Чтобы восстановить ключ сессии, атакующему придется взломать и X25519, и ML-KEM-768. Таким образом:

  • Если в ML-KEM-768 обнаружится уязвимость → X25519 всё равно защитит вас (от классических атакующих).
  • Если квантовый компьютер взломает X25519 → ML-KEM-768 всё равно защитит вас.

Именно из-за этой подстраховки «с двойным запасом» гибридный режим стал стандартом по умолчанию повсюду, а не чистый постквантовый.

Куда это встраивается в рукопожатие

Гибридный обмен ключами использует то же самое рукопожатие TLS 1.3, что описано в статье Что такое TLS 1.3 →. Единственное отличие — в key_share: сообщение ClientHello несет ключевую долю X25519MLKEM768 вместо обычной X25519. Ключи ML-KEM крупнее (~1.2 KB против 32 байт), поэтому ClientHello увеличивается примерно на килобайт — обычно это пренебрежимо мало, хотя иногда сообщение может выходить за границы пакета в сетях с ограничениями.

При этом по-прежнему обеспечивается прямая секретность →: новая пара ключей для каждого соединения, в постквантовом исполнении.

Что уже внедрено в 2026 году

КомпонентСтатус постквантовой поддержки (середина 2026)
Chrome / EdgeX25519MLKEM768 согласуется по умолчанию
FirefoxX25519MLKEM768 поддерживается и включен
Cloudflare65%+ трафика, создаваемого людьми, шифруется PQ; обмен ключами реализован
GoogleПредоставляет постквантовый обмен ключами
AWSML-KEM в KMS, ACM, Secrets Manager; отказ от устаревшего Kyber в 2026 году
OpenSSL 3.5+Встроенная поддержка ML-KEM и X25519MLKEM768
Java (SunJSSE)X25519MLKEM768 включен по умолчанию

Часть, которая еще не реализована в массовом масштабе, — это постквантовые сертификаты, то есть подписание сертификатов с помощью ML-DSA вместо RSA/ECDSA. Подписи и открытые ключи ML-DSA гораздо крупнее (килобайты против ~64 байт), что раздувает рукопожатие и нагружает ограничения на размер цепочки сертификатов. Cloudflare планирует внедрить ML-DSA на соединениях с origin-серверами к середине 2026 года и изучает Merkle Tree Certificates, чтобы удержать размер под контролем, рассчитывая достичь полной постквантовой защиты (включая аутентификацию) к 2029 году.

Как проверить, используете ли вы постквантовый TLS

В браузере

Откройте любой крупный сайт в Chrome → DevTools → вкладка Security → посмотрите детали соединения. Постквантовое соединение показывает обмен ключами вида X25519MLKEM768 (или X25519Kyber768 в более старых сборках).

С помощью OpenSSL 3.5+

openssl s_client -connect cloudflare.com:443 -groups X25519MLKEM768 2>/dev/null   | grep -i "Negotiated TLS1.3 group"
# Ожидается: Negotiated TLS1.3 group: X25519MLKEM768

Если вы получаете ошибку или другую группу, значит, либо ваш OpenSSL старше версии 3.5, либо сервер пока не предлагает постквантовый обмен ключами.

Проверьте версию OpenSSL

openssl version
# Требуется: OpenSSL 3.5+ для встроенной поддержки X25519MLKEM768

Как включить это на своем сервере

Для большинства сайтов ответ прост — обновитесь и не отключайте это: постквантовый гибридный обмен ключами включается автоматически, как только ваш стек начинает его поддерживать.

Nginx / Apache

Постквантовый обмен ключами живет в вашей TLS-библиотеке, а не в конфигурации веб-сервера. Соберите или запустите ваш сервер на базе OpenSSL 3.5+ (или BoringSSL с поддержкой ML-KEM). После связывания X25519MLKEM768 предлагается автоматически наряду с X25519 — никаких новых директив не требуется. Не фиксируйте ssl_ecdh_curve на одной классической кривой, иначе вы исключите гибридную группу.

За CDN

Самый простой путь: разместите свой сайт за Cloudflare (или другим CDN с поддержкой PQC). Соединение от браузера до граничного сервера сразу становится постквантовым, без каких-либо изменений на вашем origin-сервере. Именно так большая часть из тех 65% трафика стала квантово-устойчивой — операторы вообще не трогали свои origin-серверы.

Ваш сертификат пока не меняется

Для постквантового обмена ключами вам не нужен новый сертификат. Ваш существующий сертификат RSA или ECC прекрасно работает: гибридный обмен ключами защищает сессию, а сертификат пока по-прежнему использует классические подписи. Постквантовые сертификаты (ML-DSA) — это отдельная, более поздняя миграция.

Часто задаваемые вопросы

Нужно ли покупать специальный «квантово-устойчивый сертификат»?

Нет. Постквантовый обмен ключами (самая срочная часть) вообще не затрагивает ваш сертификат — ваш текущий сертификат RSA/ECC продолжает работать. Любой, кто сегодня продает «квантово-устойчивый SSL-сертификат», в основном занимается маркетингом; промышленные постквантовые подписи (ML-DSA) публичные центры сертификации пока массово не выдают.

Постквантовый TLS работает медленнее?

Практически нет. ML-KEM-768 вычислительно быстр — зачастую быстрее, чем ECDHE. Основные затраты связаны с размером: более крупные ключевые доли добавляют к рукопожатию ~1 KB, что может стоить одного дополнительного обмена данными только в сетях с очень малыми ограничениями на размер пакетов. Для подавляющего большинства пользователей разница неощутима.

Когда квантовые компьютеры действительно взломают RSA?

Никто не знает. Достоверные оценки варьируются от начала 2030-х годов до «возможно, никогда в массовом масштабе». Но из-за стратегии «собрать сейчас, расшифровать потом» крайний срок внедрения постквантового обмена ключами уже наступил — именно поэтому браузеры и CDN перешли на него в 2024–2026 годах, а не стали ждать.

А как насчет TLS 1.2?

Постквантовый гибридный обмен ключами определен только для TLS 1.3. Это еще одна причина включить TLS 1.3 → — это единственный путь к квантово-устойчивому HTTPS. TLS 1.2 не получит постквантового обмена ключами.

ML-KEM — это то же самое, что Kyber?

Да — ML-KEM представляет собой стандартизированную NIST версию алгоритма, ранее называвшегося CRYSTALS-Kyber. Более старые сборки браузеров и инструменты показывают Kyber768; стандартизированные внедрения используют ML-KEM-768. Они тесно связаны, но не идентичны бит в бит, поэтому клиент на финальном стандарте и сервер на предстандартной версии могут не согласовать соединение. К 2026 году экосистема в основном перешла на финальный ML-KEM.

Нужно ли мне что-то делать прямо сейчас?

Для типичного сайта: убедитесь, что вы используете TLS 1.3, поддерживайте свою TLS-библиотеку в актуальном состоянии (OpenSSL 3.5+) и рассмотрите вариант CDN с поддержкой PQC, если вы работаете с долгоживущими конфиденциальными данными. Этого достаточно, чтобы получить квантово-устойчивый обмен ключами уже сегодня. Постквантовые сертификаты могут подождать, пока стандарты и инструментарий центров сертификации не станут зрелыми.

Похожие статьи

SSL и сертификаты 2026-05-08
Что такое TLS 1.3? Все, что изменилось
TLS 1.3 — текущий стандарт шифрования: более быстрое рукопожатие, обязательная прямая секретность, отсутствие устаревших алгоритмов. Узнайте, что изменилось по сравнению с TLS 1.2, как его включить и стоит ли использовать только его.
SSL и сертификаты 2026-05-08
Что такое прямая секретность (Perfect Forward Secrecy)?
Прямая секретность означает, что каждое TLS-соединение использует уникальный ключ. Даже при компрометации закрытого ключа сервера прошлые сеансы связи не могут быть расшифрованы. Узнайте, как это работает и как убедиться, что функция включена.
SSL и сертификаты 2026-05-08
Криптография с открытым ключом: как на самом деле работает шифрование SSL
Криптография с открытым ключом использует пару ключей — один открытый, один закрытый — для защиты HTTPS-соединений. Узнайте, как асимметричное шифрование, цифровые подписи и обмен ключами делают SSL/TLS возможным.
SSL и сертификаты 2026-05-07
Сертификаты ECC и RSA: какой выбрать?
Сравнение сертификатов ECC (ECDSA P-256) и RSA (2048/4096 бит). Ключи ECC меньше и быстрее. Узнайте, почему GetHTTPS по умолчанию использует ECC и когда RSA всё ещё имеет смысл.
Получите бесплатный SSL-сертификат в браузере
Без установки, без аккаунта. Ваш приватный ключ никогда не покидает устройство.
Получить сертификат