นักวิจัยอิสระ Andrew Ayer ตรวจพบว่า Symantec ได้ออกใบประกาศรับรองความปลอดภัยทางอิเล็กทรอนิกส์ในลำดับชั้น Transport ที่ไม่ถูกต้องกว่า 108 รายการ ซึ่งนับเป็นครั้งที่สองหลังจากเกิดเหตุการณ์ครั้งแรกได้ในไม่ถึงสองปี
โดยข้อมูลรหัสของใบประกาศดังกล่าวถือว่าละเมิดข้อตกลงด้านมาตรฐานความปลอดภัยสากล โดยมีใบประกาศกว่า 9 รายการที่ออกโดยไม่ได้รับอนุญาตหรือมีการรับรู้จากผู้รับผิดชอบโดเมน ส่วนอีก 99 รายการถูกออกให้แก่บริษัทที่พบว่าข้อมูลบนเว็บนั้นปลอมอย่างชัดเจน โดย Ayer ได้เขียนอธิบายบนบล็อกของตนเองเมื่อวันที่ 19 มกราคมที่ผ่านมา
Ayer ได้มีรายงานปัญหานี้แก่ Symantec ซึ่งได้รับการติดต่อกลับว่า กำลังสืบสวนและจะรายงานผลให้ทราบโดยเร็ว จากนั้นใบประกาศที่ไม่ถูกต้องหลายรายการได้ถูกยกเลิกภายในไม่ถึงชั่วโมง
ทางโฆษกของ Symantec ได้กล่าวว่าใบประกาศที่มีปัญหา ได้ถูกออกโดยบริษัทที่เป็นพาร์ทเนอร์ WebTrust ของตัวเอง ซึ่งขณะนี้ได้จำกัดสิทธิ์การออกใบประกาศของบริษัทนี้แล้ว
เมื่อปี 2558 Symantec ได้เลิกจ้างพนักงานที่เกี่ยวข้องกับกรณีออกใบประกาศรับรอง HTTP ไม่ถูกต้องสำหรับเว็บของกูเกิ้ล ซึ่งขณะนั้นกูเกิ้ลได้แจ้งเตือน Symantec ให้ทบทวนและปรับปรุงกระบวนการตรวจสอบใบประกาศรับรองให้ดีกว่าเดิมแล้ว
ที่มา : https://www.scmagazine.com/once-again-symantec-spotted-improperly-issuing-certs/article/633266
