A resposta é que os sinalizadores que controlam o comportamento do Google Chrome em relação aos certificados sha1
são controlados remotamente (servidores do Google). No Chrome 42 (e talvez 43) foi implementado fail-open, dando assim um bloqueio verde na VM fora da rede.
No Chrome 44, ele foi implementado com falha fechada.