多くのブラウザがSSLを実装している点と、使用されているデジタル証明書を管理するためのX.509公開鍵インフラシステムに問題があります
Moxie Marlinspikeと呼んでいるセキュリティ研究者は、自分がヌル・ターミネーション証明書と呼ぶものを使ってSSLトラフィックをインターセプトする方法を示しました。彼の攻撃を仕掛けるために、Marlinspikeはまず自分のソフトウェアをローカルエリアネットワークで入手する必要があります。インストールされると、クライアントとサーバー間の通信を傍受するために、SSLトラフィックが検出され、ヌル終了証明書が提示されます。このタイプの中間者攻撃は検出されません」とMarlinspikeの攻撃は、SQLインジェクション攻撃として知られる一般的な攻撃と非常によく似ています。これは、特別に細工されたデータをプログラムに送信して通常はしないでください。彼はヌル文字を含む証明書を自分のインターネットドメイン用に作成した場合、 0で表されることが多く、証明書を誤って解釈するプログラムがあります。
ヌル文字が表示されたときにテキストの読み取りを停止するプログラムがあるためです。しかし、www.paypal.com 0.thoughtcrime.orgに発行された証明書は、www.paypal.comに属している可能性があります。
Internet Explorer、VPN(仮想プライベートネットワーク)ソフトウェアに影響を及ぼす問題が広がっている、とMarlinspikeは述べています。さらに悪いことに、Dan KaminskyとLen Sassamanの研究者は、多数のWebプログラムが古い暗号化方式を使って発行された証明書に依存していることを発見したと報告していますMD2と呼ばれる技術は、長い間、安全ではないと考えられてきました。 MD2は実際にはクラッキングされていないが、決定された攻撃者によって数ヶ月のうちに壊れる可能性がある、とカミンスキー氏は述べている。[] MD2アルゴリズムは、13年前にVeriSignによって " VeriSignは5月にMD2を使って証明書の署名をやめたと、VeriSignのプロダクトマーケティング担当副社長であるTim Callanは述べています。しかし、「多数のWebサイトがこのルートを使用しています。私たちは実際にそれを殺すことはできないし、ウェブを破るだろう」と述べた。しかし、ソフトウェアメーカーはMD2証明書を信頼しないように自社の製品に言うことができる。彼らはまた、ヌルターミネーション攻撃に対して脆弱でないように自社の製品をプログラムすることもできます。しかし、現在のところ、Firefox 3.5がヌル・ターミネーションの問題にパッチを当てた唯一のブラウザだと、研究者は述べている。
これは過去半年でSSLが精査されたのは2回目である。昨年末、研究者らは不正な認証局を作成する方法を見つけた。これは、どのブラウザでも信頼できる携帯SSL証明書を発行することができる。
KaminskyとSassamanは、SSL証明書がそれらが安全でないようにする。すべての研究者は、SSL用の証明書を管理するために使用されるx.509システムが古く、修正する必要があることに同意しました。