Suggestie: niet alle browsers ondersteunen de overvloed aan Certificate Authorities (CA).

Help ons jou helpen
- welk os?
- welke browsers?
- welke site?
- wat is exact de melding?
- zit er een ip-forwarder tussen?
- worden headers herschreven?
- LAN of WAN?

Klinkt in mijn oren alsof de uitgever van het certificaat niet bij iedere gebruiker op de whitelist staat. Misschien een certificaat aanvragen bij een grote(re) uitgever?

Controleer jullie website op ssllabs of er een vergelijkbare website. Goede kans dat de certificaatketen niet helemaal goed is of er meerdere paden zijn.

Wat zegt ssllabs ervan? En virustotal? En internet.nl?

Ik gok dat die mensen jullie webserver benaderen met een url die niet in het certificaat staat.

Webserver hoort de chain mee te sturen, behalve de root, die moet op de client aanwezig zijn.
Wanneer server slechts een deel stuurt, dan zullen
Clients die wel het certificaat van de intermediate hebben ervaren de url als save.
Clients die niet het certificaat van de intermediate hebben geven een waarschuwing

Een veel voorkomende oorzaak van dit probleem is het verkeerd installeren van het certificaat.
Je moet niet alleen het certificaat zelf installeren maar ook het "pad" van certificaten erboven.
Als je dat vergeet (fout doet) dan werkt het bij sommige mensen prima en bij andere niet.

Hoe kan je dit oplossen?

Ik begrijp niet wat je hier bedoeld met 'pad van certificaten erboven'.

Certificaten zijn digitaal getekend door de uitgevende organisaties die hiërarchisch erboven staan. Die CA (certificate authorities) moet je wel natuurlijk geïnstalleerd hebben, en worden normaliter meegeleverd door het OS of browser.

Het kan zo zijn dat bijvoorbeeld een CA niet meer als trusted wordt beschouwd. Een OS of software update verwijderd automatisch deze CA van de lijst van trusted.

Een CA, die het certificaat heeft gesigned, levert naast het certifcaat alleen ook altijd de certificate chain: dit is naast het certificaat zelf, ook, indien niet de root CA zelf heeft getekend, een file met alle certificaten van de intermediate CA's: dus het certificaat van de intermediate CA die het eindcertificaat heeft getekend. Dan het certificaat van de intermediate CA die het certificaat van de intermediate CA heeft getekend. Net zolang totdat je bij de root CA (die normaliter niet zelf eindcertificaten tekent) uitkomt.

De server zal deze chain moeten terugleveren (en niet alleen het eindcertificaat) om te voorkomen dat iedereen ook alle certificaten van de intermediate CA moet installeren. Alleen de root CA moet dan als vertrouwde CA binnen het OS (of de browser, wanneer je bijvoorbeeld Firefox gebruikt) bekend staan. De overige certificaten gebruikt de browser dan uit de certificate chain en controleert met het vertrouwde root certificaat dat de laatste intermediate CA in de lijst echt is getekend door deze root CA. Zo is de hele keten van eindcertificaat tot root CA gewaarborgd.

Als voorbeeld kun je kijken naar hoe je dit voor de Apache web server doet, url https://httpd.apache.org/docs/current/mod/mod_ssl.html#sslcertificatechainfile

Kun je de URL delen; dan kunnen we je vrijwel zeker helpen hiermee.
De meest voor de hand liggende reden is inderdaad een onvolledige 'certificate chain' zoals hierboven beschreven door Anoniem 16:45 en Anoniem 10:08

Dan zal het daar inderdaad op fout zijn gegaan!
Even googlen dan maar hoe je een certificaat moet installeren op jouw computer.
(wij kunnen toch niet raden wat voor software je gebruikt...)