去年，Google和Mozilla提出Symantec認證機構存在操作問題，并對解決方案提出了合理化建議。Symantec對此進行了響應，并對解決措施進行承諾……

2015年9月18日

Google使用證書透明度日志來抓取Symantec認證機構工作人員不正確地發布其不擁有的域（包括Google域名）的擴展驗證證書。

這些證書是為測試目的發行的，Symantec和Google都認為這會讓用戶處于風險之中。賽門鐵克宣布，已經發帖讓涉及操作問題的員工為此負責，不過該帖子似乎已經從賽門鐵克網站上刪除。

2015年10月28日

經過一個月的審議，Google對Symantec CA頒發不正當證書的行為進行制裁。

Google宣布，Symantec認證機構必須提交擴展的第三方審核時間表，并要求賽門鐵克遵守所有證書的證書透明度，從2016年6月1日起，且不僅是擴展驗證證書。

2016年6月1日

賽門鐵克必須符合證書透明度才能發布所有證書。

2017年1月19日

安全研究員Andrew Ayer使用證書透明度日志和報告，在2016年7月至2017年1月期間發現了Symantec認證機構頒發的108個不良證書。

Symantec通過撤銷以前未被撤銷的所有證書進行響應，并減少其合作伙伴頒發不正確證書的頒發特權。

2017年1月26日

鑒于經確定的不良證書數量已增加到127個，賽門鐵克回應了Google關于錯誤發放證書的問題。賽門鐵克表示正在審查其注冊管理機構（RA）計劃，并采取其他措施來審查與其合作伙伴和審核員提出的問題。該公司后來停止其RA計劃。

2017年3月23日

Google Chromium瀏覽器開發團隊報告說，其調查顯示，過去幾年Symantec認證機構發布或驗證的證書多達30,000張，并提出了賽門鐵克的不正確行為。

Google將不再認同并刪除現有Symantec頒發的證書，將新的Symantec證書的有效期降低到9個月，要求對所有Symantec頒發的證書進行重新驗證和替換，并從Symantec頒發的證書中刪除擴展驗證狀態至少一年。

2017年3月24日

賽門鐵克宣布終止其遭受困擾的注冊管理機構計劃，這是Google和Mozilla提出的一些問題的根源。

2017年3月26日

在反對Google提出的拒絕信任證書的計劃的公告中，賽門鐵克網站安全執行副總裁兼總經理Roxane Divol表示，該公司是“世界領先的認證機構之一”，“我們根據行業標準運營我們的CA”，Divol還寫道：“我們不認為Google的建議符合互聯網社群的最佳利益。”

2017年3月31日

根據Google的行動，Mozilla開發人員Gervase Markham發布了Chromium開發人員在論壇上提供的Symantec認證機構問題的完整列表，并要求Symantec進一步澄清。

Mozilla團隊列出了與Symantec認證機構相關的14個問題，其中一些可追溯至2009年，包括在使用不推薦使用的算法的截止日期之后發布SHA-1證書、未經域名所有者許可發布域名證書，以及賽門鐵克沒有解決的審計中提出的問題。

2017年4月10日

賽門鐵克對Mozilla開發人員論壇上提出的問題作出回應后，還提出了更多的問題。

Mozilla的Markham設定了2017年4月20日星期四為最后期限，賽門鐵克對論壇上提出的問題進一步作出回應。

2017年4月20日

在Mozilla強調的最后期限之前，賽門鐵克公司對Mozilla開發人員論壇中列出的證書頒發機構的問題進行了正式的回應，并要求有機會提供一個備用計劃來恢復其證書的信任。

注意到WoSign在2016年被Mozilla從可信賴的證書頒發機構名單上撤了下來，Markham又提出了自己的替代計劃。

2017年4月26日

賽門鐵克提供一些建議來恢復對其認證機構的信任。聲稱其‘反提案’“解決了Google針對我們的CA業務提出的擔憂，而不會對我們的客戶和Chrome用戶造成不必要的業務中斷，如果Google實施其提案，我們認為會產生這種擔憂，”賽門鐵克提出進行額外的更為頻繁的審核，并承諾其將解決業務問題。

2017年4月27日

Google的Chrome網絡安全團隊的軟件工程師和技術主管Ryan Sleevi報告說，Symantec也可以選擇另外一種做法，以讓它成為一個值得信賴的認證機構：即有效地將Symantec認證機構的操作轉移到一個或多個現有的CA，以及從頭開始重建其公鑰基礎設施（PKI）。

2017年5月1日

Mozilla回應賽門鐵克的‘反提案’，建議其選擇第二種做法：將其認證機構的業務外包給一個或多個外部CA，這是目前的首選操作。

Markham指出，雖然構成賽門鐵克反提案大部分的審計很重要，但它們不是認證機構的“行為保證人”。

Markham寫道：“賽門鐵克應認真考慮Google關于簡化和恢復對公共PKI信任的建議。

2017年5月4日

賽門鐵克重申有信心通過增加審計和流程改進來修復認證機構的問題，并承諾在2017年8月31日之前進行第三方審核，以確認其“發布流程良好”。

賽門鐵克在一篇題為“賽門鐵克公司繼續公開對話”的博文中寫道，賽門鐵克拒絕Mozilla和Google將其業務外包給第三方的提議。

2017年5月7日

在Mozilla開發者論壇的一篇文章中，賽門鐵克網站安全高級技術總監Rick Andrews宣布，賽門鐵克公司與Google和賽門鐵克公司高管之間“建立新的對話”，“達成新的提案”將減少對賽門鐵克客戶造成影響。

Google發言人證實，Chrome參與對話，但搜索巨頭不再作出評論。

2017年5月9日

Mozilla撤回了其補救Symantec認證機構信任的方案。Markham寫道，考慮到賽門鐵克參與程度低，需要進一步恢復合規性，賽門鐵克保留Mozilla可信賴的CA的唯一選擇是將其CA運營轉交給值得信賴的第三方。

賽門鐵克沒有回應關于該項提議。

2017年5月10日

在Chrome開發人員論壇上發布的文章中，Opera軟件安全團隊成員Tarquin Wilton-Jones表示，Opera瀏覽器可能會遵循Chromium對Symantec認證信任的操作，但他補充說，Opera團隊“仍然會支持將Google的第二個提案（將CA流程外包給另一個CA）作為首選解決方案。”