Isso parece ser um caso em que as CAs fizeram assinatura cruzada.
Existem duas cadeias que terminam com o seu certificado:
Corrente 1:
Path #1: Trusted
1 Sent by server www.example.com
Fingerprint: fbea1fc476bcee2eae7a1001e4a37bf560d0c013
RSA 2048 bits (e 65537) / SHA256withRSA
2 Sent by server RapidSSL SHA256 CA - G3
Fingerprint: 0e34141846e7423d37f20dc0ab06c9bbd843dc24
RSA 2048 bits (e 65537) / SHA256withRSA
3 In trust store GeoTrust Global CA Self-signed
Fingerprint: de28f4a4ffe5b92fa3c503d1a349a7f9962a8212
RSA 2048 bits (e 65537) / SHA1withRSA
Weak or insecure signature, but no impact on root certificate
Corrente 2:
Path #2: Trusted
1 Sent by server www.example.com
Fingerprint: fbea1fc476bcee2eae7a1001e4a37bf560d0c013
RSA 2048 bits (e 65537) / SHA256withRSA
2 Sent by server RapidSSL SHA256 CA - G3
Fingerprint: 0e34141846e7423d37f20dc0ab06c9bbd843dc24
RSA 2048 bits (e 65537) / SHA256withRSA
3 Sent by server GeoTrust Global CA
Fingerprint: 7359755c6df9a0abc3060bce369564c8ec4542a3
RSA 2048 bits (e 65537) / SHA1withRSA
WEAK SIGNATURE
4 In trust store Equifax / Equifax Secure Certificate Authority Self-signed
Fingerprint: d23209ad23d314232174e40d7f9d62139786633a
RSA 1024 bits (e 65537) / SHA1withRSA
WEAK KEY IN MOZILLA'S TRUST STORE MORE INFO »
Weak or insecure signature, but no impact on root certificate
(da saída do relatório do SSL Labs)
Realmente, "Chain 1" é a principal opção e "Chain 2" provavelmente foi interessante quando este certificado da CA GeoTrust foi introduzido pela primeira vez e nem todos tinham o certificado GeoTrust ( de28f4a4ffe5b92fa3c503d1a349a7f9962a8212
) em suas listas, enquanto eles provavelmente fizeram todos têm o Equifax um ( d23209ad23d314232174e40d7f9d62139786633a
).
Ambas as cadeias tecnicamente ainda são válidas, mas a que está começando na raiz Equifax está mostrando sua idade. Ele tem um certificado raiz de 1024 bits (considerado fraco agora) e o primeiro certificado intermediário é SHA1 assinado (considerado fraco agora).
Eu diria que, neste caso, provavelmente há pouco ponto que serve certificados intermediários para "Chain 2".
Se você deseja confirmação, pergunte-se por que ainda estão solicitando que você atenda certificados para "Cadeia 2" ou se pergunte quais podem ser as preocupações de compatibilidade de não fazê-lo. Recomendamos que você pergunte a sua AC.