Neste caso, o certificado do servidor ou um certificado da AC intermédio apresentado ao navegador contém uma chave fraca, como uma chave RSA com menos de 1024 bits. Uma vez que é relativamente fácil obter a chave privada correspondente para uma chave pública fraca, um utilizador mal intencionado pode falsificar a identidade do verdadeiro servidor.
