Finalmente consegui encontrar uma solução. Por algum motivo, ele não deve ser ligado corretamente no IIS. Remover e religar o certificado no IIS corrigiu o problema.
Temos um certificado de domínio GlobalSign para nosso domínio. Instalei o certificado no IIS e adicionei o certificado GlobalSign Domain Intermediate às autoridades de certificação intermediárias do computador local
Parece que o IIS não está enviando o certificado intermediário (causando um erro no Firefox), apenas o certificado de domínio. Eu verifiquei isso com o OpenSSL e também vários sites, incluindo o verificador de integridade da GlobalSign.
Olhando no IIS, eu posso acompanhar a cadeia e cada certificado é "ok", sem a opção de instalar qualquer indicação que eles já sejam.
Alguma idéia do que pode estar errado?
Tags ssl certificate iis