Microsoft heeft een SSL-certificaat voor xboxlive.com ingetrokken omdat de privésleutels per ongeluk waren gelekt, waarmee gebruikers vervolgens konden worden afgeluisterd of aangevallen. Volgens de softwaregigant zijn er echter geen aanwijzingen dat gebruikers ook daadwerkelijk zijn aangevallen.

Het certificaat kon worden gebruikt om man-in-the-middle-aanvallen tegen gebruikers van Xbox Live uit te voeren, zo stelt Microsoft. Het zou niet kunnen worden gebruikt om andere certificaten uit te geven, andere domeinen te imiteren of code te signeren. Alle ondersteunde versies van Windows hebben met het probleem te maken. Hoe de privésleutels precies konden lekken laat Microsoft niet weten. De softwaregigant heeft het certificaat in kwestie zelf uitgegeven.

Om Windowsgebruikers te beschermen heeft Microsoft het certificaat inmiddels ingetrokken waardoor het niet meer geldig is en de Certificate Trust list (CTL) bijgewerkt. Windows zal hierdoor het certificaat niet meer accepteren. In Windows 8 en nieuwer wordt de CTL automatisch bijgewerkt en hoeven gebruikers geen actie te ondernemen. Gebruikers van Vista, Windows 7 en Server 2008 moeten eerst de automatische updater downloaden voordat ze automatisch zijn beschermd.