Symantec heeft verschillende ssl-certificaten ingetrokken die ten onrechte waren uitgegeven, zo heeft het beveiligingsbedrijf bekendgemaakt. Het ging om certificaten voor example.com en domeinen met het woord test erin, zoals test1.com en test2.com.

"Met de uitzondering van test4.com en test8.com, zijn deze domeinen door andere entiteiten geregistreerd en lijken niet met elkaar te maken wat betreft eigenaar en beheer. Het is onwaarschijnlijk dat de eigenaren van deze domeinen zouden samenwerken om deze certificaten toe te staan", aldus Andrew Ayer van SSL Mate die de certificaten ontdekte. De certificaten werden vorig jaar oktober en november uitgegeven.

Verder bleek Symantec certificaten uit te hebben gegeven die niet aan de richtlijnen van het CA/Browser Forum voldeden, een vrijwillig consortium van certificate authorities en ontwikkelaars van browsers, besturingssystemen en andere PKI-applicaties. Symantec stelt in een reactie dat de certificaten waren uitgegeven door een partner. Het beveiligingsbedrijf heeft nu een onderzoek ingesteld en de rechten van de partner ingetrokken zodat die geen certificaten meer kan uitgeven. Daarnaast zijn de certificaten die niet aan de richtlijn voldeden ook ingetrokken.

"Symantec is een ongelooflijk slechte certificaatautoriteit", zegt Ayer op Twitter. Eind 2015 nam Google nog maatregelen tegen Symantec wegens geknoei met ssl-certificaten en vorig jaar kwam het bedrijf nog in het nieuws wegens het uitgeven van een "intermediate" certificaat aan beveiligingsbedrijf Blue Coat. Ssl-certificaten worden onder andere gebruikt voor het identificeren van websites en het versleutelen van verkeer van en naar bezoekers. Ze spelen dan ook een belangrijke rol op internet. Onterecht uitgegeven ssl-certificaten kunnen namelijk worden gebruikt om internetgebruikers aan te vallen. Certificaatautoriteiten hebben daarom de plicht om goed te controleren dat degene die een ssl-certificaat voor een domein aanvraagt ook de eigenaar is.