Questo sembra proprio essere un problema dal lato del tuo sito web.
Il certificato fornito dal server è corretto ed è accettato dalla quasi totalità dei browser: il problema è che molti server più vecchi non dispongono del certificato root (relativamente) nuovo nel loro archivio di fiducia, quindi molte operazioni automatizzate stanno generando errori al momento.
Non conosco il tuo sito esatto, quindi ho preso un sito arbitrario hosted-by-discourse.com e l’ho sottoposto al Qualys SSL Server Test.
Come puoi vedere, la radice del secondo percorso di certificazione è effettivamente scaduta, ma questo è mitigato dal fatto che il certificato ISRG Root X1 è presente nell’archivio di fiducia (cioè incluso nel tuo browser e/o sistema operativo) per il primo percorso di certificazione.
I server in genere non aggiornano frequentemente il proprio archivio di fiducia, quindi è probabile che il tuo server non abbia il certificato ISRG Root X1 nel suo archivio di fiducia. (Questo è accaduto anche all’immagine Docker per la ricezione della posta).
Puoi trovare un bundle aggiornato, ad esempio, su https://curl.se/ca/cacert.pem. Su CentOS, quel file va in /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem. Su Ubuntu puoi usare il comando update-ca-certificates, che aggiorna /etc/ssl/certs/ca-certificates.crt.
In alternativa, potresti disabilitare temporaneamente la verifica del certificato SSL nel codice del tuo server.