Google於3/20發現數個假冒Google網域的數位憑證,這些憑證允許伺服器偽裝成Google網站。Google並揭露相關憑證的發行商為埃及Mideast Communication Systems (MCS),而MCS的中繼憑證(Intermediate Certificate)則是由中國的根憑證(Root Certificate)機構中國互聯網絡信息中心(China Internet Network Information Center, CNNIC)所發行。Google在發現後立即通知CNNIC與其他瀏覽器業者,同時也在Chrome中封鎖了MCS所發行的憑證。CNNIC則說他們與MCS的合約中規定MCS僅能發行該公司所註冊的網域憑證。
MCS則於3/25正式對外澄清,這只是該公司在測試相關服務時不小心造成的疏失,並非故意。MCS表示,該公司是埃及與中東地區主要的安全產品供應商之一,在2015/3/11與CNNIC簽署了示範合作協議,準備在中東市場推出雲端安全服務,並在3/19自CNNIC取得中繼憑證,以進行為期兩週的測試。MCS在3/19當天便展開測試,測試環境是在受到保護的MCS實驗室內,而且把金鑰儲存在符合美國聯邦訊息處理標準(Federal Information Processing Standards, FIPS)的防火牆裝置中,但未注意到該裝置有個積極政策(Active Policy),會執行Secure Sockets Layer轉發代理(SSL forward proxy),為網際網路上被瀏覽的網域自動產生憑證。3/20有一名工程師使用Google Chrome瀏覽網路時無意間觸發了該政策,Google才會收到誤用的回報。MCS指出,當該公司接到CNNIC的通知時,馬上就從防火牆裝置上刪除了憑證,也在同一天提交意外報告給CNNIC並通知有關單位。這是人為疏失,而且僅在MCS實驗室中的單一測試電腦上發生,Google也已確認並無任何濫用或監控流量的情況產生。由於此事引起全球媒體的關注,CNNIC也發布聲明澄清指出,有些媒體報導說「Google稱CNNIC發佈用於中間人攻擊的憑證」,這是不實報導。CNNIC強調,該機構並未發佈用於中間人攻擊的憑證,而Google也未有針對CNNIC的相關指責。其合作方MCS公司已確認不當簽發的測試憑證僅用於實驗室內部測試,同時CNNIC已於3/22撤銷對MCS公司的業務授權。
不過外界評論認為,該事件的問題不只出在MCS,因為CNNIC提供給MCS憑證功能過於強大,允許MCS能夠產生任何網域的憑證,此事不論是MCS或CNNIC都有過失,也突顯了憑證發行方式的問題。Google 更是抨擊CNNIC濫發數位憑證,也採取進一步的行動,宣布Google產品將不再承認來自CNNIC的根憑證與延伸驗證(Extended Validation, EV)憑證。雖然CNNIC表示無法理解與接受Google的決定並提出抗議,不過,Google仍然決定要封鎖來自CNNIC的根憑證與EV憑證。在下次的Chrome瀏覽器更新就會採用此一新政策。Google表示,為了協助那些受到此一決定影響的客戶,短期內將會透過白名單功能讓Chrome持續將既有的CNNIC憑證視為可信賴憑證。這意味著未來使用者若以Chrome瀏覽器造訪採用CNNIC憑證的.cn或簡體中文名稱網站,都可能會看到警告訊息,提醒使用者所造訪的可能不是可靠的網站。