Dalam keadaan ini, sertifikat server atau sertifikat CA perantara yang diberikan ke browser berisi kunci yang lemah, misalnya kunci RSA yang kurang dari 1024 bit. Karena relatif mudah untuk mendapatkan kunci pribadi untuk kunci publik yang lemah, penyerang mungkin memalsukan identitas server yang asli.
