Googleからの件もあったSymantecのSSL/TLS事業ですが（あれはあれで他はどうなのかとかあるようですが）、セキュリティ研究者のChris Byrne氏から、少なくとも2015年にはAPIに不備があり証明書が盗めた、という指摘が出ています。

（元の指摘：Facebook上での3月24日の投稿）

www.facebook.com

（紹介記事）「SymantecのAPI不備によりSSL秘密鍵や証明書が盗まれうるとの報告」

thehackernews.com

Symantecの関連会社で使うSSL/TLS関連APIは、少なくとも2015年時点では、認証が適切でないか、あるいはそもそも認証になってない状態だったようで、発見者はこれを報告、Symantec側も修正するとしていました。その後、実際に最重要部分は修正されたものの、先日のGoogleの件で、対応がいまだに不十分だと知った、と書いています。Symantecからは「全て修正した」との反応が来たことを受けて、Chris氏は「2016年の遅い時期までにSymantecや関連会社から購入したSSL/TLSがあったら失効処理を行うことを強く推奨しています。