OVHcloud, proveedor europeo de referencia, ha anunciado que eleva la seguridad de los sitios que aloja incorporando entropía cuántica en la generación de certificados TLS/SSL. La compañía ha rediseñado el proceso de creación de claves aprovechando un generador cuántico de números aleatorios (QRNG) ejecutado en un ordenador cuántico de Quandela que la empresa adquirió, y afirma convertirse así en el primer actor global que integra cómputo cuántico para mejorar el acceso seguro a páginas web. La novedad se aplica a los certificados emitidos automáticamente por Let’s Encrypt para los planes de alojamiento del grupo y no requiere cambios por parte de navegadores ni usuarios.

OVHcloud contextualiza su movimiento dentro de su trabajo con la Internet Security Research Group (ISRG), matriz de Let’s Encrypt, y presenta la mejora como una forma de fortalecer la fiabilidad de las claves que cifran las comunicaciones, reduciendo riesgos asociados a fuentes de aleatoriedad sesgadas o previsibles. La iniciativa se apoya en una innovación patentada por el grupo, bautizada como “certifiable hazard” (aléa certificable), y se desplegará sin coste para los clientes de alojamiento web: casi cinco millones de sitios alojados por OVHcloud se beneficiarán del QRNG antes de que termine octubre de 2025.

---

¿Qué significa “aleatoriedad cuántica” en un certificado?

Para establecer una conexión segura TLS, el servidor web necesita un par de claves criptográficas (pública/privada). La seguridad de ese par depende, entre otros factores, de que la aleatoriedad utilizada durante su generación sea de alta calidad. Tradicionalmente, los sistemas operativos combinan PRNG/DRBG (generadores deterministas, alimentados con entropía) y, cuando existe, hardware RNG (ruido físico) para sembrar el proceso. En casos extremos –por diseño defectuoso o por fallos operativos– ese azar puede degradarse (sesgos) o ser predecible, lo que debilita el resultado.

Un generador cuántico de números aleatorios (QRNG) obtiene bits a partir de un fenómeno intrínsecamente aleatorio de la mecánica cuántica. OVHcloud cita en su anuncio el uso de entrelazamiento de fotones para producir bits fundamentalmente impredecibles. En su diseño, esa entropía cuántica alimenta la fabricación de claves de los certificados que Let’s Encrypt emite en sus plataformas de alojamiento. El objetivo es simple: disminuir aún más la probabilidad de que un atacante pueda modelar o adivinar estados internos del generador de números, mejorando la robustez de las claves resultantes.

Idea clave: esto no cambia el estándar de los certificados ni la manera en que los navegadores establecen TLS; cambia el azar con el que se forjan las claves.

---

Qué aporta (y por qué puede importar)

• Un origen de entropía más fuerte. La física cuántica evita los problemas de sesgo a largo plazo que pueden acumularse en algunas fuentes electrónicas clásicas.
• Mitigación de fallos “raros pero reales”. La historia de la seguridad está salpicada de incidentes de aleatoriedad pobre (p. ej., bugs de semilla o controversias de DRBG). Usar QRNG reduce la superficie de ese tipo de errores.
• Continuidad operativa. No hay que actualizar navegadores ni cambiar servidores: los certificados siguen siendo compatibles con todo el ecosistema actual.
• Sin sobrecoste: OVHcloud detalla que el despliegue es gratuito para los clientes de alojamiento, al integrarse en el circuito automático de Let’s Encrypt.

Para administradores y desarrolladores en hosting gestionado (planes compartidos, PaaS web del proveedor), el cambio es transparente. Quien genera las claves en su propia infraestructura (servidores dedicados, K8s, instancias cloud autogestionadas) no se ve afectado por esta iniciativa a menos que utilice el circuito de emisión del alojamiento web de OVHcloud.

---

Lo que no hace: esto no es criptografía poscuántica

Conviene separar dos conceptos que a menudo se confunden:

1. Entropía cuántica (QRNG): mejora la calidad del azar usado para generar claves con algoritmos clásicos (RSA, ECDSA).
2. Criptografía poscuántica (PQC): reemplaza algoritmos susceptibles de ser rotos por ordenadores cuánticos (vía Shor/Grover) por esquemas resistentes a esos ataques (basados en retículas, códigos, etc.).

OVHcloud habla de QRNG para robustecer la generación de claves y no anuncia ningún cambio a algoritmos poscuánticos en los certificados (algo que, por compatibilidad de cliente y estandarización, todavía está en evolución a escala web). En otras palabras: no convierte tu web en “a prueba de cuántica” frente a futuros ordenadores cuánticos capaces de factorizar RSA o romper ECDSA; sí reduce riesgos asociados a entropía defectuosa hoy.

---

¿Cómo encaja con Let’s Encrypt y el ecosistema?

OVHcloud es miembro de ISRG y utiliza Let’s Encrypt para emitir certificados gratuitos y automatizados a los sitios alojados. La cadena de confianza, los algoritmos de firma y la compatibilidad con navegadores no cambian. El cambio está en la fase de clave: en las plataformas donde el proveedor genera y gestiona ese par (p. ej., shared hosting con ACME totalmente gestionado), el proceso inyecta entropía cuántica.

• Para el usuario final: no hay fricción –las renovaciones y despliegues siguen iguales.
• Para navegadores: ven un certificado estándar (por ejemplo, ECDSA P-256/384 o RSA según la política de emisión), sin necesidad de soporte especial.
• Para terceros: la transparencia se mantiene (registros de Certificate Transparency), pero la fuente de entropía no se expone en el certificado; es un detalle operativo del emisor/gestor de claves.

---

Riesgos que ayuda a mitigar (con ejemplos históricos)

• Sesgos acumulados en RNG electrónicos que degradan la aleatoriedad con el tiempo (calor, envejecimiento, ruido ambiental).
• Errores de implementación: bugs de inicialización o semillas defectuosas que reducen el espacio de claves efectivo.
• Eventos raros: incidencias tipo “semilla constante” o “lista reducida de claves” que han aparecido en distintas bibliotecas a lo largo de los años.

No es un “escudo total”: si un sitio filtra la clave privada por mala configuración, backup expuesto o ataque en capa aplicación, la fuente de azar con la que se generó la clave no lo salvará. QRNG endurece un eslabón concreto de la cadena (el nacimiento de la clave).

---

Despliegue y alcance

• Estado: en marcha.
• Cobertura: certificados Let’s Encrypt de sitios alojados por OVHcloud (hosting gestionado).
• Compatibilidad: total con navegadores actuales (no hay cambios en el handshake TLS).
• Coste: gratuito para clientes del alojamiento.
• Objetivo: ~5 millones de sitios con QRNG a finales de octubre de 2025 (según el anuncio).

---

Implicaciones prácticas para administradores y desarrolladores

1. No tienes que hacer nada si tu web está en alojamiento web de OVHcloud con certificados automáticos: recibirás la mejora de oficio.
2. Si gestionas tus propios servidores (VPS, dedicados, Kubernetes) y tú generas la CSR/clave, este anuncio no te afecta directamente. Puedes seguir tus políticas (HSM, RNG de SO, módulos TRNG) o explorar, en el futuro, si OVHcloud ofrece QRNG como servicio consumible.
3. Monitoriza como siempre: caducidades, renovaciones ACME, cadenas intermedias, OCSP stapling, cipher suites, CT logs. QRNG no modifica estos flujos.
4. Comunica a negocio con claridad: esto no es poscuántico; es una mejora de entropía. Evita sobrepromesas.

---

Limitaciones y preguntas abiertas

• Trazabilidad pública: los certificados no indican su fuente de azar; la verificación depende de procesos internos del proveedor y –en su caso– auditorías.
• Alcance: QRNG se aplica a claves generadas por el proveedor para su hosting. Certificados gestionados por el cliente no entran.
• Modelo de amenaza: QRNG fortalece la imprevisibilidad de claves; no evita compromisos por malware, exposición de backups, vulnerabilidades de aplicación o errores de permisos.
• PQC: el salto a algoritmos poscuánticos a escala de la Web es otro proyecto (estándares, compatibilidad, rendimiento). QRNG no lo sustituye.

---

Por qué interesa a la industria (más allá de OVHcloud)

• Señal de que los proveedores pueden aprovechar recursos cuánticos hoy para mejorar la ciberseguridad sin romper compatibilidades.
• Camino de adopción: usar cuántica para entropía es un paso incremental razonable antes de abordar migraciones complejas a PQC.
• Efecto arrastre: si funciona a escala (millones de sitios), otros operadores pueden replicar el patrón con QRNGs certificados o servicios gestionados.

---

Conclusión

La apuesta de OVHcloud por inyectar aleatoriedad cuántica en la generación de claves de certificados Let’s Encrypt es un paso técnico sensato: no rompe nada, refuerza un eslabón crítico (la entropía), y lleva una ventaja de la cuántica al día a día de la Web sin exigir cambios a usuarios ni navegadores. No convierte a los sitios en poscuánticos, sí reduce el riesgo de claves débiles por fuentes de azar defectuosas. Si cumple su promesa a escala –~5 millones de webs a finales de octubre–, será un hito operativo interesante: la cuántica aportando valor inmediato donde más duele romper: en compatibilidad.

---

Preguntas frecuentes

¿Necesito cambiar algo en mi web para usar estos certificados “con cuántica”?
No. Si tu sitio está alojado en OVHcloud y recibe certificados automáticos de Let’s Encrypt, la mejora se aplica sola. Navegadores y clientes TLS no requieren ajustes.

¿Esto hace mi web “resistente a ordenadores cuánticos”?
No. QRNG mejora la entropía con la que se generan las claves actuales (RSA/ECDSA). La resistencia poscuántica implica otros algoritmos (PQC) que no forman parte de este anuncio.

¿Puedo verificar que mi certificado se generó con QRNG?
El certificado X.509 no expone la fuente de entropía. OVHcloud lo integra operacionalmente en su proceso de emisión; la transparencia pública sigue siendo la de siempre (CT logs), pero los detalles de aleatoriedad no figuran en el certificado.

¿Afecta al rendimiento de TLS o a la compatibilidad de navegadores?
No. La negociación TLS, los algoritmos y la cadena de Let’s Encrypt no cambian; los navegadores funcionan igual. QRNG solo influye en cómo se forja la clave en el lado del servidor gestionado.

---

Fuente: Comunicado oficial de OVHcloud — “OVHcloud, the first global player to improve website access security with a quantum computer” (23 de septiembre de 2025).