Symantect blijkt als officiële Certificate Authority lange tijd certificaten te hebben uitgegeven die nergens geregistreerd werden. Daardoor konden gebruikers van die certificaten Google-namaaksites maken die gebruik leken te maken van een veilige https-verbinding. Symantec heeft inmiddels de groep werknemers die daarvoor verantwoordelijk waren ontslagen.

Naar nu blijkt heeft Symantec het probleem in de afgelopen weken schromelijk onderschat. In eerste instantie werd gezegd dat er iets meer dan 23 onregistreerde certificaten waren uitgegeven, maar Google zelf vond daarvan een veelvoud. Nu wil Google van Symantec weten hoe het mogelijk is dat het het bedrijf niet in staat is die certificaten te achterhalen terwijl het Google wel is gelukt.

Google draait Symantec duimschroeven aan

In een keiharde blogpost haalt Google fel uit naar Symantec en stelt het zelfs een ultimatum. Symantec moet met meer informatie over de brug komen, en uitleggen hoe het zijn certificeringsproces beter gaat managen. Ook moet er een onafhankelijke audit komen naar het falende certificatenbeleid.

Google dreigt de certificaten van Symantec anders als onveilig te beschouwen en Chrome daartoe waarschuwingen aan gebruikers te laten afgeven. Symantec heeft inmiddels gereageerd en gezegd inderdaad een dergelijke externe audit te laten doen. Ook wordt het beleid rond het uitgegeven van certificaten transparanter gemaakt.