GoDaddyのSSL証明書のドメイン認証に問題があって、指定語句が含まれているとOkだったので、404や検索結果を使って証明書を取得できてしまっていたとのこと。

すなわち、ドメイン認証の手段として、GoDaddyが発行するランダムなコードを含むファイルをウェブサイト上の特定の位置に設置し、そのファイルの内容を確認することでドメイン所有者であることを確認しているが、ファイルがなくてもドメイン所有者とされ、証明書が発行できていたというのです。

以下、この問題のGoogle groupsにおけるディスカッションも参考にしながら、悪い人がgoogle.comの証明書を入手しようとしたと想定して、悪用の手順を紹介します。
悪人は、GoDaddyのコントロールパネルからwww.google.comのサーバー証明書を要求する
コントロールパネルがランダムなコード（以下、例としてtR7PasZyを用います）を発行し、利用者に http://www.google.com/tR7PasZy.html を作成して、その中にtR7PasZyというコードを含めるように要求する
悪人は、実際には上記のページを設置できないが、設置したという報告をコントロールパネル上で行う
GoDaddyの認証システムは、http://www.google.com/tR7PasZy.html からコードを読み取ろうとする。この際の表示は下記となる（ステータス404）

GodaddyのSSL証明書にドメイン認証の脆弱性があり8850件の証明書が失効された | 徳丸浩の日記