Simplesmente impressionante.

http://www.win.tue.nl/hashclash/rogue-ca/

Resumindo: é possível forjar certificados válidos fazendo com que nenhum navegador faça a mínima idéia de que está em um site falso. Basicamente, a entidade certificadora assina um hash MD5 da sua chave pública. Você tem que gerar uma outra chave pública que resulte no mesmo hash, e substituí-la em uma cópia de um certificado autentico. Se fosse utilizado SHA1 ou SHA2 não teria esse problema.

A treta é que existem grandes entidades certificadoras que usam MD5 como Thawte e RSA! Os certificados do Google são assinados pela Thwate, por exemplo.

Demorou um dia com 200 PlayStation 3 para achar uma colisão. Parece muito? Nada que uma botnet com uns 10000 zumbis não resolvam rapidinho.