Het gaat daarbij onder meer om certificaten die toebehoren aan banken. De kwetsbare certificaten maken het mogelijk om de site van een bedrijf na te maken met behulp van een SSL-certificaat die er op het eerste gezicht legitiem uitziet. Op die manier kan een phisher een gebruiker het idee geven dat de nepsite toebehoort aan de gecertificeerde organisatie, waarschuwt Netcraft.

Phishers hebben ook met een gekopieerd SSL-certificaat niet helemaal vrij spel: de browser waarschuwt namelijk als de naam van het certificaat niet overeenkomt met de door de gebruiker opgegeven naam. Dat betekent dat een aanvaller het netwerk of de DNS-instellingen van de gebruiker moet manipuleren voor een goed uitgevoerde misleidingpoging.

Diverse organisaties die certificaten uitgeven (zoals VeriSign en Comodo), hebben aangeboden om onveilige SSL-certificaten gratis te vervangen. Getroffen klanten lijken echter niet al te veel haast te hebben om van deze mogelijkheid gebruik te maken.

In mei werd bekend dat er sinds september 2006 een kwetsbaarheid zat in OpenSSL in Debian Linux. Het lek maakt het relatief makkelijk om de 'random' gegenereerde cryptografische sleutels (waaronder die voor SSH, SSL-certificaten, OpenVPN) te voorspellen. Voor het Internet Storm Center was het lek zelfs reden om het risiconiveau te verhogen van groen naar geel – een zeer ongebruikelijke stap. Bron: Techworld