Parece o problema típico em que o servidor não envia a cadeia de certificados completa, conforme explicado aqui .
Mas desta vez ele tem uma reviravolta adicional: se você verificar o site com SSLLabs não reporta nenhum problema em cadeia. Se você usa openssl s_client...
para se conectar ao site, ele também mostra que o site envia a cadeia completa (incluindo o certificado raiz, o que não deveria). Mas se você tomar outras ferramentas para verificar se você pode falhar em vez disso, porque o O site envia apenas o certificado de lead e não possui os certificados de cadeia necessários.
Demorei um pouco para descobrir, mas no final acabou sendo um servidor mal configurado: contanto que você use o IPv4, o servidor retorna a cadeia de certificados completa, mas se você usar o IPv6, o servidor retornará apenas o certificado de folha. Isso significa que todas as ferramentas bem-sucedidas usaram o IPv4, todas as ferramentas com erros usaram o IPv6. Quanto aos navegadores: o navegador com falha deve ter usado o IPv6, o outro pode ter usado também, mas pode ter esse certificado armazenado em cache de visitar outros sites usando o mesmo certificado de cadeia.