なんかSSL/TLSに脆弱性が見つかったらしい。この記事でそれを知った。

    http://journal.mycom.co.jp/news/2009/11/09/006/?rt=m&t=o&n=2906

このサイトから、原文の情報を見てみたが、どうもSSLのRenegotiating時に
特殊なことをするとこの脆弱性を突けるらしい・・・

SSLのrenegotiateとは、コネクションの最中にSSLハンドシェイクを行うこと。
SSL/TLSでは、TCPのハンドシェイクが完了した後でSSLのセッションを確立するために
SSLのハンドシェイクを行う。このSSLハンドシェイクの中で、その後のデータのやり取りで
使用する共有鍵とアルゴリズムの交換を行っている。データのやり取りが長くなると、
SSLハンドシェイクの中で交換した共有鍵が漏れる危険性が高くなり、通信が危殆化していく。
こういう場合に renegotiate を行えば、鍵情報をリセットできる。
通信の危殆化を防ぐために共有鍵を置き換えたい場合や、ある一部のリソースに対しての
アクセスのみクライアント証明書を要求したい、という場合などに利用できる。

今回見つかったのは、このrenegotiate時にMan-in-the-middle攻撃を許してしまう脆弱性。
プロトコル設計レベルの問題だから大変そうだな・・・