Unul din sapte certificate digitale care asigura autenticitatea unui site web securizat foloseste un algoritm de semnare vulnerabil, potrivit unui nou audit. Toate aceste site-uri ar trebui sa renunte la meganismul de semnare digitala vulnerabil inainte ca acesta sa fie exploatatat prin atacuri de tip phishing care pot fi foarte "convingatoare".

Netcraft raporteaza ca 14 % din certificatele SSL pe care le-a analizat in timpul unui audit recent erau semnate folosind un algoritm MD5 recent dovedit nu doar slab dar volnerabil la atacuri practice. In ultima luna specialistii in securitate de la Chaos Communication Congress au aratat cum poate fi creat un certificat fals cu aceeasi semnatura digitala ( hash ) ca si certificatul autentic. Acest lucru se datoreaza faptului ca doua date de intrare diferite aplicate algoritmului MD5 vulnerabil pot produce acelasi rezultat.

Aceasta "coincedenta de semnatura" creaza o oportunitate pentru potentialii atacatori sa aplice pentru eliberarea unui certificat la o Autoritate de Certificare ( CA ) inainte de a produce un al doilea certificat cu aceeasi semnatura dar cu detalii de domeniu diferite. Chiar mai rau, poate fi posibil sa se forteze autentificarea la un site care se bazeaza pe certificate semnate cu MD5. Aceasta vulnerabilitate in semnarea MD5 este cunoscuta de luni de zile, dar abia acum s-a putut pune si in practica de catre profesionistii in securitate acest atac asupra certificatelor SSL. Auditul din decembrie 2008 al Netcraft a descoperit 135000 de certificate SSL valide dar afectate de insecuritatea algoritmului MD5, practic 14% din numarul total al certificatelor SSL auditate. Majoritatea ( 128000 ) certificatelor afectate sunt semnate de RapidSSL - companie detinuta de VeriSign din 2006.