CRL配布点拡張がなく失効できないというのが一番の問題 だったんだと思います。失効できていれば、 単に問題のあった証明書を失効させ、鍵長や拡張領域に 問題があったとしても正しいものを再発行すれば よかっただけで、こんなに大きな問題にはならなかったはずです。 失効できないために認証局丸ごとブラックリスト化するしか 手が無かったわけです。 ニュースではEKUが無いのがおかしいとか わけのわからない事指摘してますよね。

Source: [自堕落な技術者の日記 : 米ユタのDigiCertとは無関係なマレーシアのDigicert認証局の問題について見てみたぞ - livedoor Blog（ブログ）|http://blog.livedoor.jp/k_urushima/archives/1639468.html#]

電子証明書と認証局

引用元: 電子証明書と認証局
|http://www.atmarkit.co.jp/fnetwork/rensai/pki02/pki01.html