Názory k článku
Google a Cloudflare chtějí postkvantové šifrování do certifikátů TLS

No 5kB je hezký na vlastní certifikát. Ale ty skutečné certifikáty poskytují několik klíčů a podpisů v řetězci, který vede až k Root CA. Takže je několikanásobně delší. Asi 3x -:4x?

MTC možná zkouší s EC, ale cílem je tam mít nakinec ML-DSA, aby to bylo kvantově odolné.

Fík:
Dyť ty v tom máš úplný guláš a myslím, že ses nikdy nedíval co v certifikátu je. Umím udělat self-signed certifikát, certifikát podepsaný pomocí Root CA, klidně i certifikát, ten podepsaný zprostředkující CA a ten podepsaný Root CA. Pokud uděláš certifikát, který má nad sebou zprostředkující CA a Root CA, tak je prakticky stejně velký, klidně si to vyzkoušej, návod mám na to tu:
https://krakatoa.endora.site/openssl/https-na-web-serveru.php
Rozhodně není několikanásobně větší jak píšeš.
To několikanásobně větší možná v určitých případech platí pro handshake při komunikaci mezi klientem a serverem, obvykle Root CA je v systému nebo v prohlížeči a zprostředkující obvykle taky, já třeba ze serveru na klienta posílám jen serverový sertifikát, i když má nad sebou řetězec. Takže několikanásobně větší to může být, když se musí posílat ten řetězec.
Jasně, že cílem je tam mít ML-DSA, ale pokud tam bude ML-DSA, tak ta velikost rozhodně nebude jak mi tu píšeš 700 B.

2. 3. 2026, 20:14 editováno autorem komentáře

Fullchain se posílá naprosto standardně, certifikáty zprostředkující autority totiž v systému nebývají a web browsery jen podporují AIA fetching (tedy automatické "dotáhnutí" intermediate z webu CA), aby fungovaly i s těmito "broken" servery. Posílat jen leaf určitě není správně, zkus si na takový server namířit třeba cURL (který AIA fetching neumí) nebo holé Python requests. Zhavarují ti na neznámém issuerovi, pokud nepošleš i intermediate (nebo si ho teda ručně nenahardcodíš do systému, ale to je extrémní antipattern a LE ti všude píše, že se to nemá dělat).

3. 3. 2026, 09:02 editováno autorem komentáře

Fullchain se posílá naprosto standardně
Jen upřesním, že se standardně posílá celý řetězec s výjimkou kořenové autority. Kořenovou autoritu stejně musí protistrana znát, když jí důvěřuje, takže je zbytečné ten certifikát posílat.

Zprostředkující autority ve spoustě systémů jsou. Z toho pak vznikají ty zábavné situace, kdy „líný“ server posílá jenom svůj certifikát, „líný“ klient má jenom kořenovou autoritu – a v jiném systému to funguje, protože tam na jedné nebo druhé straně ta vydávající autorita je.

Špatně jsem se vyjádřil, certifikát na disku není větší, ale hlavička při handshake je, protože se prověřuje celý řetěz certifikátů až k Root CA a uživatel má pomalý "internety".

700 B píší na Arstechica, ale možná to mají blbě a je to jen ten MT. Nebo je ten jeden ML-DSA v Root CA a nemusí se teda tahat v hlavičce? Cloudflare už dřív zjistil, že handshake s hlavičkou větší než 10 kB je problém. No a ten ML-DSA normální certifikát s celým řetězem bude mít hlavičku 14-17 kB:

https://blog.cloudflare.com/sizing-up-post-quantum-signatures/

Našel jsem na tom blogu Cloudflare toto: "... For their part, Chrome is implementing MTC support in their own TLS stack and will stand up infrastructure to disseminate landmarks to their users..."

Fík:
Takže se MTC řeší na experimentální úrovni a když bych si to teď chtěl vyzkoušet, tak to nemůžu... Navíc jsme pod článkem, kde se řeší ML-DSA, takže rovnou MTC s ML-DSA... Tak dej vědět až bude možnost si to vyzkoušet :-)
Já tu mám totiž nachystané na server obyčejné ML-DSA certifikáty už skoro rok a skoro rok čekám na podporu ML-DSA v prohlížečích a furt nic... je hezké, že někde experimentují...

2. 3. 2026, 21:14 editováno autorem komentáře