Acabei de falar com o suporte Thawte via chat e eles confirmaram que é um problema e um caso aberto com a Apple (desde 31 de julho de 2014) sobre o assunto. Nenhuma resposta / ETA em uma correção até o momento.
Recentemente, renovamos o certificado SSL Thawte do nosso servidor Nginx. Anteriormente, estávamos usando o SHA1 como o algoritmo de assinatura, mas dessa vez utilizamos o SHA256, que leva a um novo certificado raiz conhecido como "thawte Primary Root CA - G3" (isso pode ser encontrado em seu site - não há representante suficiente para postar o link).
Desde o lançamento, começamos a receber chamadas de clientes usando o OS X sobre a obtenção do erro "Este certificado foi assinado por uma autoridade desconhecida" ao navegar para a página https.
O verificador de certificados de Thawte está perfeitamente satisfeito com nossa cadeia de certificados instalada: link (nós temos nosso certificado, mais o intermediário "thawte Extended Validation SHA256 SSL CA" no arquivo pem)
Após o teste, encontramos erros no Safari, Opera e Chrome no OS X em todas as versões. O Firefox estava OK no OS X (eu acredito que ele vem com seu próprio armazenamento confiável de certificados). Todos os navegadores parecem OK no Windows.
Quando verificamos o OS X Access Keychain, descobrimos que o CA raiz primário do thawte - G3 WAS foi instalado, mas de alguma forma o navegador não estava conseguindo completar a cadeia.
Aqui está um site de teste (não o nosso) usando o mesmo intermediário e raiz que exibe exatamente os mesmos sintomas no OS X:
Alguém pode explicar por que o OS X não está reconhecendo a CA raiz desse site como sendo confiável quando instalado no Access Keychain do OS X 10.9 por padrão?
Em 17 de setembro de 2014, o Primary Root CA-G3 (intermediário com uma assinatura SHA-256) ainda não era aceito pelos sistemas operacionais Mac mais recentes.
Thawte enviou o número de erro da Apple 17095623 para que eles resolvessem o problema.