Symantec heeft certificaten gemaakt voor onder meer Google.com. Opmerkelijk is dat Google hier geen toestemming voor heeft gegeven en er ook niet van op de hoogte was.
Google ontdekte de certificaten die ten onterechte zijn uitgegeven en heeft hierover geschreven op zijn blog. Met één van de certificaten was het mogelijk dat een website had kunnen pretenderen Google.com te zijn, zonder dat de browser een waarschuwing gaf.
Systeemtest
Symantec heeft aangegeven dat de certificaten zijn aangemaakt in het kader van een systeemtest. In totaal werden de bewuste certificaten voor drie domeinen aangemaakt. Symantec verzekert dat deze certificaten niet buiten zijn eigen bedrijf zijn gebruikt.
Protocol
Symantec heeft de certificaten direct ingetrokken, toen Google de certificaten ontdekte. De personeelsleden die de certificaten hadden aangemaakt, zijn inmiddels ontslagen bij Google. Beveiligingsbedrijven behoren een strikt protocol te volgen. Als een certificaat wordt uitgegeven, moet aan de betreffende websites toestemming gevraagd worden – juist om te voorkomen dat het certificaat op een malafide wijze wordt gebruikt.