Acabo de ver esto sugerido en Slashdot
Por lo tanto, he visto a muchas personas que desean un cambio a certificados autofirmados (que, en su mayoría, IMO no entiende lo que realmente implica hacer eso seguro), y una idea para verificar certificados de diferentes rutas de red (lo que no ocurre). No trabaje si su único camino está comprometido, ¿y cómo asegura la comunicación al servicio que realiza la verificación por usted?).
Así que aquí hay una idea alternativa: Requerir múltiples CA.
En lugar de hacerlo de la forma de "validación extendida" que es más dinero para no mucho más servicio del mismo proveedor, sería mucho mejor tener varias firmas de CA en un solo certificado.
Comprometer a varias CA en el mismo período de tiempo para crear un certificado sería considerablemente más difícil que crear uno. Y lo que es más importante, haría mucho más fácil revocar CA grandes.
Digamos que la nueva norma es que el certificado de un sitio esté firmado por 5 CA diferentes, y que la cantidad mínima aceptable es de 3 firmas.
Luego, si Verisign se ve comprometido, no hay ningún problema en retirar su certificado: tiene 4 firmas válidas en su certificado, lo que aún está bien. Eso debería ejercer una presión considerablemente mayor sobre las AC para obtener mejores resultados.
Incluso Verisign no sería capaz de confiar en que sus problemas de seguridad serían eliminados debido a su popularidad, ya que incluso las CA más grandes serían completamente prescindibles sin que los usuarios finales necesiten mucho cuidado. El sitio simplemente iría con una 5ta CA diferente para volver a la fuerza completa.
Parece que esto funcionaría (aunque obtendría una clasificación de seguridad en lugar de un certificado binario que valida / no valide). ¿Qué pasa con la viabilidad? ¿Podría hacerse dentro de los estándares existentes? No puedo comprender si uno emitiría el mismo CSR a varias CA, luego proporcione un montón de certificados al navegador ... si solo tendría un certificado firmado en secuencia por varias CA.