Zaproponowana przez EFF specyfikacja "Suwerennych kluczy" (Sovereign Keys) ma za zadanie umożliwić właścicielowi domeny kontrolowanie powiązań między nazwami domen, a wydanymi dla nich certyfikatami. Przedstawiciele organizacji uznali, że takie dodatkowe zabezpieczenie jest niezbędne w świetle dość licznych włamań do systemów informatycznych wystawców certyfikatów.

Jednym z głównych problemów obowiązującego dziś modelu infrastruktury klucza publicznego (Public Key Infrastructure, PKI) jest właśnie brak kontroli nad wydawcami certyfikatów i ich przedstawicielami. Na świecie działają obecnie setki organizacji zajmujących się wydawaniem certyfikatów dla domen. Co więcej - niektóre z nich są zarządzane przez lokalną administracją rządową, która niejednokrotnie stosuje różne formy cenzury czy monitorowania Internetu.

Klucze suwerenne mają rozwiązać ten problem - pozwolą właścicielom domen podpisywać wydane przez dostawców certyfikaty ich własnym, prywatnym kluczem (co zapewni dodatkowe bezpieczeństwo). Informacje o takich powiązaniach będą przechowywane na specjalnych serwerach (tzw. timeline servers).

Specyfikacja SK - dostępna na razie w fazie projektowej - przewiduje, że przeglądarki będą z definicji ufały jedynie najnowszym wpisom na serwerach timeline, zaś w razie jakichkolwiek problemów z bezpieczeństwem, właściciel klucza suwerennego będzie mógł łatwo odwołać lub zmodyfikować owe powiązania.

Dzięki takiemu modelowi funkcjonowania PKI, liczba potencjalnie narażonych na atak punktów spadnie z setek (liczba wystawców certyfikatów) do ok. 30 (bo tyle serwerów timeline przewiduje projekt przedstawiony przez EFF). Projekt przewiduje też, że w przypadku wykrycia na którymkolwiek z serwerów jakiejkolwiek złośliwej zawartości czy aktywności, będzie on automatycznie odłączany - (wszystkie maszyny wysyłające zapytania będą go ignorowały).

Od czasu głośnych włamań do firm Comodo oraz Diginotar wielu specjalistów zaczęło zastanawiać się, jak można usprawnić obowiązujący dziś system zabezpieczania transmisji danych w Internecie. Jednym z zaproponowanych rozwiązań jest tzw. public key pinning (zaprezentowany na konferencji Internet Engineering Task Force - IETF w Taipei), czyli system wykorzystujący specjalne nagłówki http informujące przeglądarki o przeznaczeniu i wystawcy certyfikatu. Powinien on w znacznym stopniu utrudnić przeprowadzanie ataków, ponieważ uniemożliwia przestępcom generowanie zaufanych certyfikatów - chyba, że zdołają oni włamać się do dostawcy z grupy zaakceptowanej przez atakowaną domenę.

To rozwiązanie ma jednak również pewne wady - działa jedynie w przypadku HTTPS, co znaczy, że nie można wykorzystać go do zabezpieczenia innych protokołów (np. SMTP over SSL, POP over SSL, IMAP over SSL czy XMPP). Krytycy zwracają też uwagę, że w systemie tym nie przewidziano transparentnego i prostego sposobu anulowania certyfikatów, których bezpieczeństwo naruszono.

System oparty na kluczach suwerennych ma również nie być obarczony problemem z błędnym rozpoznawaniem certyfikatów SSL (zarówno uznawaniem wadliwych za poprawne, jak i vice versa) pojawiającym sie w innym rozwiązaniu modelu PKI - Convergence. W Convergence przeglądarka próbująca nawiązać połączenie HTTPS sprawdza certyfikaty nie tylko u ich wystawcy, ale również w tzw. notariatach. Jeśli certyfikaty otrzymane przez przeglądarkę i notariat różnią się, jest to wyraźna przesłanka, że trwa właśnie atak typu man-in-the-middle i połączenie jest blokowane.

Moxie Marlinspike - autor Convergence - jest jednak nastawiony do propozycji EFF sceptycznie. Jego zdaniem ów projekt wymaga bowiem zbyt wielu modyfikacji obowiązującego dziś modelu SSL/TLS.