Sinds juni van dit jaar zijn er tenminste vijf Certificate Authorities die SSL-certificaten uitgeven gehackt, zo meldt de Electronic Frontier Foundation (EFF). Via het eigen SSL Observatory bestudeerde de Amerikaanse digitale burgerrechtenbeweging alle Certificate Revocation Lists (CRLs). Hiermee kunnen uitgegeven certificaten worden ingetrokken, bijvoorbeeld als ze ten onrechte zijn uitgegeven, zoals bij DigiNotar het geval was. Bij de CRLs wordt ook de reden gemeld waarom een certificaat is ingetrokken.

Tijdens een recente scan van de CRLs kwam de EFF 248 gevallen tegen waarbij de Certificate Authority aangaf dat men gehackt was en dat daarom het certificaat moest worden ingetrokken. Zulke verklaringen werden door vijftien verschillende CA organisaties afgegeven. Bij een vorige scan in juni werd "gehackte Certificate Authority" door tien verschillende CA's als reden opgegeven.

"Aan de hand van deze gegevens kunnen we zien dat tenminste vijf Certificate Authorities de afgelopen vier maanden gehackt zijn", zegt Peter Eckersley. Volgens hem zouden via al deze incidenten de veiligheid van HTTPS-websites in het geding zijn.