Beberapa situs web aman dengan sertifikat dari otoritas tepercaya memiliki konfigurasi yang salah sehingga mereka tidak menyertakan rantai kepercayaan menengah saat melayani sertifikat mereka sendiri.
Jika Anda memiliki sistem / browser yang telah melihat bagiannya dari sertifikat yang valid, perantara tersebut mungkin sudah di-cache, dan Anda tidak akan mendapatkan pesan kesalahan apa pun, bahkan jika konfigurasi server web mereka masih salah seperti di atas.
Namun, jika Anda menggunakan browser yang baru diinstal pada sistem baru, dan perantara tersebut belum di-cache, dan sertifikat yang disajikan oleh server-web tidak memiliki rantai perantara yang sesuai, maka Anda mendapatkan pesan kesalahan.
Berikut adalah penjelasan resmi oleh pengembang Mozilla di milis Mozilla.org:
http://www.mail-archive.com/dev-security@lists.mozilla.org/msg02155.html
Intinya: ini adalah kesalahan situs web, bahkan jika itu hanya terjadi di browser Anda yang baru diinstal, dan berfungsi dengan baik di tempat lain.
Cara mereka memperbaikinya dalam bahasa Inggris:
Mereka membeli sertifikat mereka dari pengecer kepercayaan, dan server web mereka pasti hanya melayani satu sertifikat - milik mereka - yang tidak dipercayai peramban Anda secara langsung, karena mereka membelinya dari pengecer yang belum pernah Anda dengar.
Sekarang, alih-alih hanya melayani satu sertifikat, mereka melayani dua hak secara bersamaan - sertifikat mereka sendiri ("* .upc.biz") dan sertifikat dari beberapa reseller sertifikat ("AlphaSSL CA - G2"), dan sertifikat reseller tersebut melengkapi kepercayaan, karena Anda sekarang melihat bahwa seseorang yang Anda percayai ("GlobalSign Root CA") telah dijamin untuk pengecer kepercayaan tersebut.
Anda dapat melihat detail lebih lanjut tentang nama persis yang terlibat di sini:
http://www.digicert.com/help/?host=web.upc.biz
Beberapa situs web lain membeli sertifikat mereka langsung dari otoritas tepercaya, dan bukan dari pengecer, jadi, mereka hanya perlu melayani sertifikat sendiri, dan semuanya masih akan menjadi tip-top.
Misalnya, linode.com membeli sertifikat mereka langsung dari Equifax, yang dipercayai Mozilla secara langsung, sehingga Linode tidak perlu menyertakan salinan sertifikat apa pun selain milik mereka.