事の発端は、「Black Hat USA 2009」。ここで、MD2アルゴリズムを使用した証明書が、原像攻撃(Pre-image Attack)の対象となる可能性があることが発表された。
これを受け、サイバートラストでは、同社発行のSSLサーバ証明書であるSureServerおよびSureServer EVの全ての証明書はSHA1を使用し、MD2 を使用していないため、本脆弱性の影響を受けることは一切ないことを発表した。
Black Hatでは、サーバ証明書のコモンネームに「Null文字」を埋め込むことで、ブラウザなどのWebアプリケーションが証明書を誤って解釈する可能性があることが発表されたが、この脆弱性は、認証局からコモンネームに「Null文字」が含まれるサーバ証明書を得ることから生じるものだとサイバートラスト側は解説。
これに加え、サイバートラストでは「Null文字」が含まれたCSR(Certificate Signing Request:証明書署名要求)をもって申請が行われた場合であっても、コモンネームに「Null文字」が含まれるSSLサーバ証明書は発行していないことから、過去、今後を問わず、サイバートラスト発行のSSLサーバ証明書であるSureServerおよびSureServer EVの全ての証明書に「Null文字」は含まれず、本脆弱性の影響を受けることは一切ないとしている。
