Algunos sitios web seguros con certificados de autoridades confiables tienen una configuración incorrecta, de modo que no incluyen una cadena de certificados de confianza intermedios cuando sirven su propio certificado.
Si tiene un sistema / navegador que ha visto su parte de certificados válidos, es posible que dichos intermediarios ya estén almacenados en caché y no recibirá ningún mensaje de error, incluso si la configuración de su servidor web sigue siendo incorrecta como se indicó anteriormente.
Sin embargo, si está utilizando un navegador recién instalado en un sistema nuevo, y dichos intermediarios aún no se almacenaron en caché, y al certificado presentado por el servidor web le falta una cadena adecuada de intermediarios, recibirá un mensaje de error.
Aquí hay una explicación oficial de un desarrollador de Mozilla en una lista de correo de Mozilla.org:
http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html
En pocas palabras: es culpa del sitio web, incluso si solo ocurre en su navegador recién instalado, y funciona bien en otros lugares.
Cómo lo arreglaron en inglés simple:
Compraron su certificado de un revendedor de confianza, y su servidor web solo debe haber servido un certificado, el suyo, en el cual su navegador no confía directamente, ya que lo compraron de un revendedor del que nunca ha oído hablar.
Ahora, en lugar de servir solo un certificado, sirven dos al mismo tiempo: el suyo ("* .upc.biz") y el de algún revendedor de certificados ("AlphaSSL CA - G2"), y el certificado de dicho revendedor completa la confianza, ya que ahora ve que alguien en quien confía ("GlobalSign Root CA") ha garantizado dicho revendedor de confianza.
Puede ver más detalles sobre los nombres exactos involucrados aquí:
http://www.digicert.com/help/?host=web.upc.biz
Algunos otros sitios web compran sus certificados directamente de una autoridad confiable y no de un revendedor, por lo tanto, solo necesitan entregar su propio certificado, y todo seguirá siendo excelente.
Por ejemplo, linode.com compró su certificado directamente de Equifax, en el que Mozilla confía directamente, por lo que no es necesario que Linode incluya copias de ningún certificado que no sea el suyo.