Navegadores como o Internet Explorer / Edge, Chrome e Safari examinarão o campo caIssuer das extensões AIA para obter um URL de onde ele pode baixar um certificado de CA superior se não for fornecido pelo servidor durante o handshake TLS.
O certificado do seu site tem um campo caIssuer definido como http://ssl.trustwave.com/issuers/OVCA2_L1.crt
, portanto, todos os navegadores acima farão o download desse URL e o usarão para criar a cadeia.
Ferramentas de linha de comando, como s_client
do OpenSSL, não usarão o caIssuer para baixar esse certificado adicional, daí a situação que você testemunhou. Se você tivesse que experimentar o Mozilla Firefox, você perceberia o mesmo lá também, já que o Mozilla se recusaria a usar esta extensão.
O campo caIssuer acaba ocultando o problema real, que é um mau administrador do servidor. RFC 5246 Seção 7.4.2 determina que o servidor deve enviar um certificate_list
, que consiste em seu próprio certificado seguido por quaisquer certificados CA intermediários.