En effet, certains programmes arrêtent de lire le texte quand ils voient un caractère 'nul'. Ainsi, un certificat issu par exemple à www.paypal.com\0.thoughtcrime.org pourrait être lu comme appartenant à www.paypal.com. Le problème est largement répandu, selon Marlinspike, et affecte Internet Explorer, les logiciels VPN (virtual private network), les logiciels de messagerie instantanées et les clients e-mails, et Firefox version 3.

Pire encore, les chercheurs Dan Kaminsky et Len Sassaman ont annoncé avoir découvert qu'un grand nombre de programmes dépendent de certificats issus à partir d'une technologie cryptographique obsolète appelée MD2, considérée comme peu sûre depuis longtemps. Le MD2 n'a pas encore été décrypté, mais ça serait une question de mois pour un pirate déterminé, explique Dan Kaminski. L'alogorythme MD2 avait été utilisé il y a 13 ans par VeriSign pour auto-signer "l'un des principaux certificats au coeur de chaque navigateur de cette planète", explique Dan Kaminsky.

VeriSign a arrêté de signer des certificats en utilisant MD2 en Mai, a déclaré Tim Callan, Vice président du marketing produit chez VeriSign. Cependant, "Un grand nombre de sites Web sont basés sur ce certificat. On ne peut pas s'en débarrasser sans se débarrasser du Web.", remarque Dan Kaminski.

Le développeurs de logiciels peuvent, cependant, définir que leurs produits ne font pas confiance aux certificats MD2. Ils peuvent aussi programmer leurs produits pour ne pas être vulnérables à une attaque de type 'Null termination'. Firefox 3.5 serait au jour d'aujourd'hui le seul navigateur à avoir corrigé ce problème, selon les chercheurs.

. Web-profils.com, la place de marché du conseil et de l'ingénierie