โลกอินเทอร์เน็ตทุกวันนี้เมื่อมีความต้องการส่งข้อมูลที่ต้องการความปลอดภัย มาตรฐานที่ได้รับการยอมรับมากที่สุดคงเป็น SSL โดยทั่วไปแล้วผู้ใช้ก็มักจะได้รับการบอกกล่าวว่าเวลาเห็นเครื่องหมายแม่กุญแจถูกล็อกก็แปลว่าปลอดภัยแล้ว

แต่เรื่องนี้กำลังไม่เป็นความจริงอีกต่อไป เมื่อทีมวิจัยอิสระกลุ่มหนึ่งได้พบช่องโหว่ในมาตรฐาน SSL นั่นคือการเปิดให้ใช้การย่อยข้อความ (hashing) แบบ MD5 ได้ทั้งที่เป็นที่รู้กันว่ากระบวนการนี้ไม่ปลอดภัยต่อการปลอมแปลงข้อมูลอีกต่อไป

โดยทีมงานวิจัยได้เก็บตัวอย่างของใบรับรองตัวตนแบบ SSL จากเว็บจำนวนกว่าสามหมื่นเว็บที่ไฟร์ฟอกซ์เชื่อใจว่าเป็นใบรับรองของจริง และจะไม่มีการเตือนผู้ใช้ว่าใบรับรองนั้นไม่น่าเชื่อถือแต่อย่างใด ทีมงานพบว่าใบรับรองเหล่านั้นมีประมาณ 9,000 ใบที่ใช้การย่อยข้อความความแบบ MD5 โดยร้อยละ 97 จากจำนวนนั้นมาจากผู้ให้บริการใบรับรองที่ชื่อว่า RapidSSL

ทีมงานทดลองซื้อใบรับรองจาก RapidSSL หลายต่อหลายครั้งเพื่อหาพฤติกรรมสำคัญต่างๆ ของใบรับรองที่ส่งออกมา จากนั้นจึงใช้ PlayStation 3 จำนวน 200 เครื่องช่วยกันคำนวณค่าใบรับรองปลอม

สงสัยว่าไฟร์ฟอกซ์รุ่นหน้าคงได้ห้ามใช้ใบรับรองแบบ MD5 กันแล้ว

ที่มา - รายงานวิจัยที่นำเสนอในงาน 25C3