Alcuni siti Web sicuri con certificati di autorità attendibili hanno una configurazione errata in modo tale da non includere una catena di certificati intermedi di fiducia quando servono il proprio certificato.
Se hai un sistema / browser che ha visto la sua quota di certificati validi, tali intermediari potrebbero già essere memorizzati nella cache e non riceverai alcun messaggio di errore, anche se la loro configurazione del server Web è ancora errata come sopra.
Tuttavia, se si utilizza un browser appena installato su un nuovo sistema e tali intermediari non sono ancora stati memorizzati nella cache e nel certificato presentato dal server Web manca una catena di intermediari appropriata, viene visualizzato un messaggio di errore.
Ecco una spiegazione ufficiale di uno sviluppatore Mozilla in una mailing list di Mozilla.org:
http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html
In conclusione: è colpa del sito web, anche se accade solo nel tuo browser appena installato, e funziona bene altrove.
Come l'hanno risolto in un inglese semplice:
Hanno acquistato il loro certificato da un rivenditore di fiducia e il loro server web deve aver offerto un solo certificato - il loro - di cui il tuo browser non si fida direttamente, dal momento che lo hanno acquistato da un rivenditore di cui non hai mai sentito parlare.
Ora, invece di fornire un solo certificato, ne servono due contemporaneamente: il proprio ("* .upc.biz") e quello di alcuni rivenditori di certificati ("AlphaSSL CA - G2") e il certificato di tale rivenditore completa la fiducia, poiché ora vedi che qualcuno di cui ti fidi ("GlobalSign Root CA") ha garantito per tale rivenditore di fiducia.
Puoi vedere maggiori dettagli sui nomi esatti coinvolti qui:
http://www.digicert.com/help/?host=web.upc.biz
Alcuni altri siti web acquistano i loro certificati direttamente da un'autorità fidata e non da un rivenditore, quindi devono solo fornire il proprio certificato e tutto sarà ancora al top.
Ad esempio, linode.com ha acquistato il proprio certificato direttamente da Equifax, di cui Mozilla si fida direttamente, quindi non è necessario che Linode includa copie di certificati diversi dal proprio.