Eu corri nessa questão depois de uma renovação de certificado ontem. Todos os meus dispositivos / navegadores de teste funcionaram bem com o certificado renovado, então voltei para casa.
Hoje cheguei ao escritório e metade de nossa empresa / clientes viu esse aviso de segurança do navegador em seus navegadores.
Mesmo com a mesma versão de ESR do Firefox implantada aqui na empresa?!
Minha solução foi usar o certificado intermediário válido correto no servidor.
Esqueci totalmente os problemas do SHA1 que o StartCom tem de forma ativa.
Obtenha o certificado intermediário SHA2 válido no domínio da classe 1 atual (no meu caso): link , substitua o velho onesub.class1.server.ca.pem com ele, reinicie o servidor web (Apache no meu final) e ele funcionará em todos os navegadores.