O principal problema parece ser que você atua no www.opencpu.org o certificado correto para o cliente que suporta SNI (Server Name Indication), por exemplo, que envia o nome do servidor esperado no handshake SSL. Mas para os clientes que não usam o SNI, você envia um certificado para dev1.opencpu.org, que não corresponde ao nome nem é assinado por uma CA confiável, mas é autoassinado. Mas enquanto o navegador atual suporta SNI, algumas bibliotecas de script não o fazem.
Como você fornece um certificado curinga para * .opencpu.org para clientes que usam SNI, eu recomendaria apenas remover o certificado dev1.opencpu.org, porque esse nome de host também corresponde ao certificado * .opencpu.org.
Para fazer também o trabalho demo.ocpu.io é mais difícil. Este nome resolve para o mesmo IP que o opencpu.org e, assim, os clientes que não suportam o SNI obtêm o certificado autoassinado para dev1.opencpu.org com os mesmos problemas, por ex. incompatibilidade de nome e CA não confiável Se você precisar suportar este nome de host para o cliente que não suporta o SNI, será necessário usar um endereço IP diferente.