Google ontdekte de onterecht uitgegeven certificaten en deed daar melding van op zijn beveiligingsblog. Met één van de certificaten had een website zich kunnen voordoen als Google.com, zonder dat de browser alarm sloeg.
Volgens Symantec werden de certificaten aangemaakt als onderdeel van een systeemtest. Ze werden voor in totaal drie domeinen gegenereerd. Het beveiligingsbedrijf verzekert dat de certificaten nooit buiten Symantec zijn gebruikt.
Toen de onterecht certificaten werden ontdekt door Google, heeft Symantec ze meteen ingetrokken. De verantwoordelijke werknemers zijn vervolgens ontslagen.
Diginotar
Symantec en andere beveiligingsbedrijven moeten een strikt protocol volgen bij de uitgifte van certificaten, waarbij ook toestemming gevraagd moet worden aan de websites in kwestie. Dit strenge beleid moet voorkomen dat certificaten worden misbruikt.
Het Nederlandse bedrijf Diginotar ging in 2011 failliet, nadat hackers in hun systemen inbraken. Hierdoor werd ten onrechte een beveiligingscertificaat toegewezen, waardoor Iran Gmailberichten kon onderscheppen.