Niepoprawna walidacja danych wejściowych w formularzu urzędu certyfikacji StartSSL umożliwiała pozyskanie certyfikatu SSL typu Domain Validation dla domeny nad którą w rzeczywistości nie mieliśmy kontroli. Niewłaściwe sprawdzanie danych dotyczyło adresów email (możliwa była jego podmiana) na które wysyłane są kody autoryzacyjne pozwalające na potwierdzenie dostępu do danej domeny.

Podatność została natychmiast usunięta.

[Aktualizacja 24.03.2016]

StartSSL wyjaśnia dlaczego odkrywcy podatności udało się uzyskać certyfikat dla wybranej do demonstracji domeny.