Você está realmente validando a identidade do cliente com o certificado SSL em vez de apenas usar um certificado do lado do servidor e SSL para criptografar a comunicação? Nesse caso, esse não é um cenário particularmente comum (embora você possa ter motivos muito válidos para isso). Se você não tiver uma necessidade comercial de autenticar clientes com certificados, ainda poderá criptografar as comunicações enquanto desativa a autenticação baseada no certificado do lado do cliente, o que resolveria seu problema :)
De acordo com a documentação Autenticação do IIS no MSDN:
IIS can also use SSL/TLS to authenticate the client by requiring the client to provide a certificate. When requesting a client certificate, the server provides the client with a list of CAs that the server trusts. This list is derived from the server's Certificate Trust List (CTL). If the client possesses a certificate issued by a CA from the CTL, it sends a copy of that certificate to the server for verification. If the certificate is valid, IIS authenticates the user that maps to the provided certificate. As such, you should limit the CTL on IIS to those CAs you determine to be truly trustworthy.
É possível que você tenha várias CAs gerando os certificados do cliente e, por algum motivo, uma delas não esteja na Lista de Confiança de Certificados (CTL) do Servidor?