A lista de certs incluídos no "bundle" (o arquivo com a cadeia de certs) é decidida pelo Web Server (provavelmente o Apache) que serve a página. Se s_client (ou openssl em geral) recebe a lista correta e completa é nada sobre o qual openssl tem algum controle.
Você precisa do certificado raiz disponível neste site .
Copie o texto incluindo de
-----BEGIN CERTIFICATE-----
até
-----END CERTIFICATE-----
para um arquivo chamado equifax.pem
Em seguida, verifique toda a cadeia:
$ openssl verify -CAfile equifax.pem -untrusted cert1.pem -untrusted cert2.pem cert.pem
cert.pem: OK
Editar
Se o certificado equifax estiver no repositório de certificados ssl local padrão (/ etc / ssl / certs /), isso também funcionará:
$ openssl verify -untrusted cert1.pem -untrusted cert2.pem cert.pem
cert.pem: OK
O certificado equifax está ou não no diretório ssl certs é um problema separado. Você pode atualizá-lo.