The certificate is for *.company.com. So I get an error:
Esse é o comportamento esperado, como @ whites11 já apontou em sua resposta
The puzzling thing is that some browsers don't complain, and load the page as expected.
O problema aqui é: A implementação do tratamento de certificado curinga é muito ruim e especialmente bastante inconsistente entre os fornecedores e versões do navegador. Não espere que eles funcionem de forma consistente em todas as plataformas.
Can I order a certificate specifically for bitbucket.kl.company.com, and not use *.company.com?
Sim, você pode. Você só precisa comprovar a propriedade / controle de bitbucket.kl.company.com
para sua CA favorita (por exemplo, Lets Encrypt) e eles emitirão o certificado TLS para você.