Para ser claros, explícitamente no es un reemplazo de SSL. Es un reemplazo para los CA, con el objetivo explícito de diseño de no forzar el despliegue de "cambiar el mundo" similar a IPv6 gigante. Se basa en gran parte en un trabajo anterior para resolver el problema de validación de la clave de host de SSH: consulte enlace
En Convergencia, hay una serie de servicios "Notarios" topológicamente distantes de la red, administrados por una diversa colección de diferentes organizaciones. Los certificados SSL (autofirmados) para cada uno de los puntos finales de Notario se incorporan al navegador. Cuando el navegador accede a un sitio https por primera vez, busca el certificado y luego llama a todos los Notarios de sus Notarios y dice "Fui a hablar con www.example.com:443 y recuperé este certificado SSL. Es ¿bueno?". Los notarios emiten un yay o nay. Si todos los notarios dicen "yay", el navegador almacena en caché el certificado hasta la fecha natural de vencimiento del certificado. En solicitudes posteriores a www.example.com:443, el navegador compara su caché con el certificado que acaba de recibir. Si hay una discrepancia, vuelve a marcar a los notarios. Dado que los sitios no realizan la rotación de certificados con tanta frecuencia, y los navegadores pueden realizar un almacenamiento en caché de certificados superagresivo (y los certificados con rotación de claves se invalidan de forma limpia desde la memoria caché), no es una solución inherentemente inescalable.
Los notarios son libres de establecer la política que quieran para lo que constituye un certificado bueno o malo. Los sugeridos son el "sitio de encuesta de los servidores de Notary", "Notary consulta el Observatorio de certificado SSL EFF", "Notary comprueba qué cert está archivado en DNSSEC", o incluso "Notary realiza la validación de CA tradicional".
Creo que es la solución más intrusiva para el problema de CA. Además de convencer a MS / Apple / Google / Mozilla para que saltara sobre él (y el problema de Citibank), hubo dos problemas que me molestaron.
El primero es el de los portales cautivos (por ejemplo, wifi del aeropuerto o del hotel). Pasó la mano un poco, y propuso usar el DNS como protocolo alternativo para comunicarse con los notarios. Pero, hay numerosos portales cautivos que solo comen registros de DNS distintos de A & CNAME.
En segundo lugar, ¿cuál es el incentivo financiero para dirigir un notario? Para escalar, tendrá que haber toneladas de estas cosas. Es posible que algunas organizaciones se queden sin la bondad de sus corazones, al igual que las raíces de DNS, pero creo que la arquitectura de DNS se amplía un poco mejor que la convergencia.