Il 30 Dicembre 2008 un team internazionale di ricercatori ha dimostrato come il popolare algoritmo MD5 non sia cosi sicuro come sembra. Dimostrazioni teoriche di possibili attacchi erano già state poste sotto i riflettori negli anni passati ma mai nessuno aveva corredato quanto esposto con un vero e proprio attacco portato a termine con successo.
I ricercatori hanno proceduto in questo modo: prima di tutto hanno acquistato un certificato per un sito web presso una nota CA (RapidSSL), quindi hanno utilizzato un cluster di 200 Playstation 3 per generare un 'Intermediate Certificate Authority (ICA)', cioè un certificato che può a sua volta certificare altri siti, la cui MD5 fosse identica a quella del certificato acquistato.
Sfruttando questo stratagemma è stato poi possibile, utilizzando l'ICA generato, certificare un certo numero di siti rendendoli validi agli occhi di RapidSSL e di conseguenza dei nostri browser (che automaticamente 'si fidano' delle maggiori Certificate Authority).
L'attacco sfrutta una caratteristica dell'MD5 che comporta la (rara) possibilità che l'hash criptografico generato da questo algoritmo su due documenti diversi sia lo stesso (md5 collision); il team di ricercatori ha concluso consigliando a chiunque debba far uso dell'MD5 di migrare verso algoritmi per il momento più sicuri come SHA-1 o SHA-2.