Wie een creditcardbetaling op het net verricht of persoonlijke gegevens invult, heeft vaak te maken met SSL. De gegevens worden dan versleuteld over internet verzonden, onderin de browser is dan een sleuteltje te zien. De browser van Microsoft gaat hier echter slordig mee om, zo ontdekte het Computer Emergency Response Team (CERT) van de Carnegie Mellon Universiteit. Het gaat om IE 4.0, 4.01, 5 en 5.01. Microsoft komt met patches voor deze versies. Volgens de softwarefabrikant komt het lek in slechts zeer bijzondere gevallen aan het licht. Kwaadwillenden moeten namelijk via een aanpassing in de DNS-entry een domeinnaam naar een eigen server zien te leiden. Internet Explorer controleert weliswaar of een SSL-certificaat is afgegeven door een te vertrouwen partij, maar checkt de verloopdatum van dit certificaat en de naam van de server niet. Bovendien wordt het certificaat niet opnieuw gecontroleerd als er een nieuwe SSL-sessie wordt gestart. De beveiliging van IE is voltrekt onvoldoende, zegt CERT: "Er zijn veel manieren om misleidende DNS-informatie te verstrekken. Het is dus fundamenteel onveilig te vertrouwen op DNS-informatie." CERT raadt internetgebruikers aan zeer zorgvuldig om te gaan met SSL-transacties. Iedereen zou binnen zijn browser moeten kijken of de naam van het certificaat daadwerkelijk behoort aan de site waaraan ze denken gegevens te versturen. Op de site van CERT is meer informatie over het lek te vinden.