Целью проекта Convergence является увеличение уровня безопасности зашифрованного SSL-трафика.
Американская компания Qualys, которая предоставляет услуги по информационной безопасности, заявила о намерении поддержать проект Convergence, целью которого является увеличение уровня безопасности, предоставляемого системой
SSL-шифрования.
Напомним, что Мокси Марлинспайк (Moxie Marlinspike), исследователь в области информационной безопасности, который обнаружил ряд уязвимостей в SSL протоколе, разработал альтернативную систему проверки подлинности SSL сертификатов. Проект Convergence предполагает работу со списками служб аутентификации открытых SSL-ключей.
На сегодняшний день в мире существует приблизительно 650 организаций, предоставляющих услуги сертификации. Это, по мнению Мокси, создает слишком большое количество доверенных зон. Компрометация серверов одной из этих организаций, такой как DigiNotar, становится резонансным событием, затрагивающим сотни тысяч пользователей.
Идея проекта Convergence состоит в том, что пользователь, во-первых, обращается больше чем к одному поставщику услуг, а во-вторых, может самостоятельно определять перечень доверенных служб сертификации.
Еще одной позитивной стороной Convergence можно назвать анонимность пользователя. Система связи с серверами аутентификации налажена таким образом, что они не могут отследить IP адрес пользователя, совершившего запрос. Крупные сервера аутентификации больше не смогут собирать информацию о сетевой активности пользователей.
Идею применения списков доверенных служб не поддержал ведущий разработчик web-обозревателя Google Chrome Адам Ландли (Adam Langley). По его словам, массовое применение подобного способа аутентификации создаст сильную нагрузку на сервера служб сертификации, которые могут не успевать обрабатывать входящие запросы. Также, по словам Ландли, 99,9% пользователей никогда даже не заглянут в настройки SSL-служб, доверившись настройкам по умолчанию, что сводит на нет весь смысл проекта Convergence.
По словам ведущего инженера Qualys Ивана Ристика (Ivan Ristic), замечания Адама Ландли «полностью справедливы». Однако он также добавил, что изменение подхода может преодолеть те трудности, о которых заявляет разработчик Google. Например, Ристик предложил применение тысяч пиринговых служб, среди которых распределяется нагрузка. «Перед Convergence стоит вызов - нужно сделать, чтобы пользователь работал, не зная о самом существовании системы… Нам необходимо разработать механизм, при котором все заработает», - подытожил Ристик.