Um servidor que fornece uma conexão TLS / SSL (como em um servidor web HTTPS) deve enviar os certificados todos ao cliente na cadeia. Ou seja, o certificado da entidade final, todas as ACs subordinadas e, opcionalmente (mas não obrigatório), o certificado da CA raiz.
Seus assim chamados PCs afetados mostram o sintoma de um servidor da Web que foi configurado incorretamente e está simplesmente enviando o certificado da entidade final. Seu navegador obtém esse certificado e não tem como encadear a autoridade de certificação raiz instalada em sua loja de âncora de confiança.
Seu PC não afetado está mostrando o sintoma de um computador Windows que possui convenientemente os certificados de CA subordinada armazenados em cache em seu armazenamento de certificados. Estes são geralmente colocados lá quando um usuário navega para outro site que usa as mesmas CAs subordinadas, mas cujo administrador sabe o que está fazendo :-) O PC ainda está recebendo apenas o certificado da entidade final do servidor, mas como ele tem o subordinado Certificados de CAs armazenados em cache, eles podem uni-los e construir a cadeia.
Agora, o Windows tem o recurso de baixar quaisquer CAs subordinadas de um repositório, mas isso só funcionará se (a) a URL desse repositório estiver contida no certificado, (b) o certificado estiver realmente instalado nesse repositório, e (c) o repositório está online e acessível.
Para resolver isso, você precisa ter uma palavra severa com o administrador do site e pedir que leia RFC 5246 . Especificamente, seção 7.4.2 .