Se é uma CA pública, é provável que seja um erro operacional que eles gostariam muito de conhecer. Se for uma CA ou cert privada, o signatário deve renunciar a ela com um novo número de série para se livrar do erro (forma inadequada para reutilizar um número de série ... a menos que você esteja disposto a revogar todos os certs com esse # ao mesmo tempo ). Você pode baixar o certificado (usar o openssl como um cliente ssl e fazer com que ele salve o certificado para você) e, em seguida, adicionar explicitamente o certificado ao armazenamento de raiz FF marcado como confiável ( link ), mas isso pode não funcionar, dependendo de onde o NSS está detectando o problema. Em qualquer caso, a ação correta está consertando (re-emitindo) o certificado.