Moxie Marlinspike, een hacker en beveiligingsonderzoeker, pleitte in augustus 2011 tijdens de Black Hat beveiligingsconferentie voor een nieuwe manier om de echtheid van websites te garanderen. Het was een vervolg op een blogpost van hem in april 2011. Marlinspike vindt dat certificaat-autoriteiten (CA’s) niet langer gebruikt kunnen worden. Hij pleit voor een website-authenticatie-mechanisme waarbij sprake is van ‘trust agility’. Individuele gebruikers moeten volgens Marlinspike zelf hun authenticatie-leverancier kunnen kiezen, in plaats dat die hun wordt opgedrongen. Ook stelt hij een Firefox-plugin voor die die mogelijkheid biedt: Convergence.
Hèt probleem van het CA-systeem is volgens Marlinspike dat één eigenschap ontbreekt: trust agility. ‘At the moment, if I decide that I don’t trust VeriSign or Comodo or any other CA, what can I do? The very best I could do would be to remove the offending CA’s certificate from my trusted CA database, but then some large percentage of secure sites I visit would break. I could take an ideological stand to never visit any of those sites again, but in reality, there isn’t actually an appropriate response, and this is as true for browser vendors as it is for individuals like me’, schrijft hij in zijn blog. Zijn woorden bleken profetisch, zo bewijst de Diginotar-hack.
