電子証明書を発行するグローバルサインが同社の発行するクロスルート証明書を失効させてしまい、そのため複数のWebサイトにHTTPSでのアクセスができなくなるというトラブルが発生していた(グローバルサインの発表、PCWorld、ZDNet)。
HTTPSで使用される電子証明書では、その証明書単独で正当性が証明されるルート証明書と、別のルート証明書によって認証が行われることで正当性が証明される中間CA証明書がある。ルート証明書は通常WebブラウザやOSに同梱されて配布されるため、古いWebブラウザやOSは新しいルート証明書を持っていないケースがあり、その場合新しいルート証明書によって認証された中間CA証明書が使えない。そのため、中間CA証明書では「クロスルート証明書」というものを利用して別のルート証明書でも認証を行えるようにしている。
問題の発端となったのは、グローバルサインが10月7日に発行した証明書失効リスト(CRL)。CRLは有効期限が過ぎた証明書を失効させるためのリストなのだが、その中に含まれていたクロスルート証明書と同じ公開鍵、同じサブジェクトネームを持つルート証明書が存在し、「より最近の有効期間開始日を持つクロスルート証明書について、元のルート証明書(R1)に対する置き換えであるとみなしてしまうような実装がされていた」たためにそのルート証明書が失効扱いとなり、このルート証明書に依存する中間CA証明書がすべて無効となってしまったという。
10月7日時点では問題は発生していなかったのだが、10月13日に証明書失効情報を提供するためのOnline Certificate Status Protocol(OCSP)で使われるデータベースが更新され、10月7日に発行されたCRLの情報を取り込んだために問題が発覚した模様。