Podczas konferencji 25th Chaos Communication Congress w Berlinie 30 grudnia 2008, zaprezentowano “proof-of-concept” udanego ataku na Certification Authority (CA).

Wygenerowany fałszywy certyfikat był uznany za zaufany przez wszystkie aktualne przeglądarki internetowe. Oznacza to, że atakujący może się podszyć pod dowolne “bezpieczne” strony banków, sklepów internetowych itd. używające protokołu HTTPS.

Atak wykorzystuje podatność funkcji haszującej MD5 na tak zwane kolizje, czyli różne wiadomości mogą mieć ten sam skrót MD5.

Więcej informacji, przykłady oraz prezentacja dostępna na stronie www.phreedom.org

Potwierdzono na razie podatność “RapidSSL” i “FreeSSL”.