Некоторые защищенные веб-сайты с сертификатами от доверенных органов имеют неправильную конфигурацию, так что они не включают цепочку промежуточных сертификатов доверия при обслуживании своего собственного сертификата.
Если у вас есть система / браузер, который видел свою долю действительных сертификатов, такие посредники уже могут быть кэшированы, и вы не будете получать никаких сообщений об ошибках, даже если их конфигурация веб-сервера все еще неверна, как указано выше.
Однако, если вы используете только что установленный браузер в новой системе, и такие посредники еще не были кэшированы, а в сертификате, представленном веб-сервером, отсутствует соответствующая цепочка посредников, вы получите сообщение об ошибке.
Вот официальное объяснение разработчика Mozilla в списке рассылки Mozilla.org:
http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html
Итог: это вина веб-сайта, даже если это происходит только в вашем недавно установленном браузере и отлично работает в других местах.
Как они исправили это простым языком:
Они купили свой сертификат у торгового посредника, и их веб-сервер должен был обслуживать только один сертификат - свой собственный - которому ваш браузер не доверяет напрямую, поскольку они купили его у торгового посредника, о котором вы никогда не слышали.
Теперь, вместо того, чтобы обслуживать только один сертификат, они одновременно обслуживают два - свой ("* .upc.biz") и сертификат какого-либо реселлера сертификата ("AlphaSSL CA - G2"), а также сертификат такого реселлера. Доверие завершается, поскольку теперь вы видите, что кто-то, кому вы доверяете («GlobalSign Root CA»), поручился за такого посредника доверия.
Вы можете увидеть более подробную информацию о точных именах здесь:
http://www.digicert.com/help/?host=web.upc.biz
Некоторые другие веб-сайты покупают свои сертификаты непосредственно у доверенного органа, а не у реселлера, поэтому им нужно только обслуживать собственный сертификат, и все будет по-прежнему на переднем плане.
Например, linode.com купил их сертификат непосредственно у Equifax, которому Mozilla доверяет напрямую, поэтому нет необходимости в том, чтобы Linode включал какие-либо копии любых сертификатов, кроме их собственных.