Een beveiligingslek in StartEncrypt maakte het mogelijk om voor sommige domeinnamen valse ssl-certificaten uit te geven, waarmee vervolgens een man-in-the-middle-aanval kon worden uitgevoerd. StartEncrypt is een dienst van de certificaatautoriteit StartCom en werd begin deze maand gelanceerd.

Via de tool kunnen eigenaren van een website automatisch en gratis een ssl-certificaat op hun webserver installeren. StartEncrypt is wat dat betreft vergelijkbaar met het populaire Let's Encrypt. Bij het uitvoeren van StartEncrypt op een server wordt automatisch gedetecteerd voor welke domeinen er certificaten kunnen worden aangevraagd. Deze worden vervolgens direct gratis aangemaakt en geïnstalleerd.

In het proces zat echter een kwetsbaarheid waardoor onder bepaalde omstandigheden een certificaat ook werd afgegeven als de aanvrager helemaal niet geautoriseerd was voor het betreffende domein. Hoewel dit niet voor alle domeinen werkte, bleek dit wel voor google.com, dropbox.com, linkedin.com, facebook.com en login.live.com mogelijk te zijn. Het beveiligingslek werd op 23 juni door Thijs Alkemade van Computest ontdekt. Na te zijn ingelicht haalde StartCom het systeem offline. Zes dagen later op 29 juni werd het probleem verholpen en kwam het systeem weer online.