Ok, então finalmente encontrei a solução para esse problema, mas a solução não me dá nenhuma compreensão do que foi o bug (acho que o código-fonte seria necessário para isso, e dado que o Win2k3 / IIS 6 não é mais suportado, eu não vejo a utilidade em tal empreendimento). Mas melhor escrever isso para o futuro para o bem comum.
Seguindo o conselho de Twisty, comecei a pensar na natureza do problema. Primeiro comecei parando todos os sites no servidor, mas o que estava envolvido, e reiniciei o serviço web. Isso não fez nada.
Em seguida, observei os outros sites inativos (que estavam em estado parado há muito tempo) e verifiquei se eles tinham algum conflito possível. Eu notei que um deles foi configurado para usar este certificado específico. No entanto, remover o certificado desse site não resolveu o problema. Além disso, havia outros sites inativos que foram configurados para usar outros certs, mas esses outros certs não exibiam esse bug.
TL; DR - Eu finalmente recorri a simplesmente excluir o site obsoleto para ver se isso faria alguma coisa e isso resolveu o problema. -
Eu não sei e não tenho tempo para (em vez do meu cliente) voltar atrás e criar sites para explorar qual é o comportamento completo do bug. Mas suponho que isso esteja relacionado aos certs em sites inativos.
Espero que esse bug nunca aconteça com ninguém por aí.