Я вообще вспомнил инцидент 2001-го года. Т. е. более двадцати лет назад стало ясно, что CA могут ошибаться.
Ну это уже археология. Ущерба нет, злого умысла не выявлено. Verisign ошибочно выдал сертификаты лицу, которое обманным путем заявило, что является сотрудником Microsoft. Технология еще отрабатывалась много смешного случалось. Помню то ли IE5.5 то ли IE6 распространял действие сертификата на сам сайт и все его поддомены игнорируя спецификацию. Даже в 2015 году при обсуждении особенностей работы по HTTPS читался скрытый вопрос: зачем вам это нужно?