Ha közben lejárt valami, az az útvonal biztos nem jó. Tipikusan az van, hogy az eredeti aláírási láncban (cross sign nélkül) mindig a root CA jár le legkésőbb, ennél csak korábban járhat le az intermediate, és ennél még korábban a webszerver CA.
Itt tippre nagyjából az van, hogy már az új intermediate és az új Root CA van használva aláírásra, de a cross sign miatt még jó amúgy a régi root CA is. De pont most lejárt a régi root CA, ezért azokon a gépeken, amiken nincs ott az új root CA, azokon már nem lesz érvényes útvonal.