Onde o OS X verifica as assinaturas Java JAR? (Problema do applet Java Web Start)

Estou tentando abrir um applet Java Web Start no OS X Lion, mas ele não abre devido à validação do certificado (do código Java, não do site de origem do arquivo JNLP Web Start). Este JNLP abre bem no OS X Snow Leopard.

O erro que recebo é: Falha ao validar certificado. A aplicação não será executada.

Eclicarem'Detalhes'medá:java.security.cert.CertificateException:nãoépossívelavaliaroscertificados.

O que me intriga é que não posso descobrir qual bit do OS X foi alterado para não confiar mais no certificado. O código é assinado por uma VeriSign 'Classe 3 Code Signing 2010 CA' que está incluída nos Java JARs assinados, e todas as CAs intermediárias e raiz relevantes parecem estar nos cacerts do meu sistema OS X (e são os mesmos certs em ambos os cacerts Lion e Snow Leopard).

Além disso, eu baixei todos os JARs listados no Web Start JNLP manualmente e os executei através de 'jarsigner -verify' e todos eles foram verificados corretamente!

Então - alguma sugestão em que o Java Web Start no OS X está tentando determinar se esse código é válido e o que pode ter sido alterado na atualização para o OS X Lion?