Niewłaściwe certyfikaty pochodzą z ub.r. – według Ars Technica. Jak ustalił serwis, prawdopodobnie wystawiono je w celach testowych. Zostały już wycofane. Jak podał na swoim blogu ekspert bezpieczeństwa Andrew Ayera problem dotyczył jednej z witryn należących do ICANN oraz różnych domen oznaczonych jako "test".

Podobne wątpliwości co do certyfikatów Symantec'a pojawiły się w 2015 r. Google wezwał wówczas firmę do przystąpienia do projektu obejmującego transparentność certyfikatów. Na początku 2016 r. Google umieścił certyfikat jedno z liderów rynku zabezpieczeń na liście tych, którym nie można ufać. Według firmy należący do Symanteca Thawte.com stworzył niektóre nie gwarantujące pełnej ochrony certyfikaty na użytek wewnętrzny, które potem wyciekły do ogólnie dostępnego Internetu.