Vía slashdot leo que dos investigadores, Dan Kaminsky y Moxie Marlinspike, han encontrado una manera de hacerse pasar por una web popular con autenticación de una autoridad certificadora: «Cuando un atacante que es dueño de su propio dominio (maltipo.com, por ejemplo) y pide un certificado de una autoridad certificadora, ésta, usando información del Whois, le manda un email para que confirme que es propietario del dominio. Pero un atacante también puede pedir un certificado para un subdominio de su web, como Paypal.com.maltipo.com, usando el carácter nulo en la url. La autoridad certificadora le dará un certificado para este subdominio porque es el dueño legitimo del dominio raíz. Entonces, gracias a un bug en la implementación del SSL de muchos navegadores, se puede engañar a éstos para que entiendan este certificado como si fuera el que viene con la web de Paypal autentica. Básicamente, cuando estos navegadores vulnerables comprueban el nombre del dominio contenido en el certificado del atacante, dejan de leer cualquier carácter detrás del en el nombre.»