Isso realmente parece ser um problema do seu lado (ou seja, do lado do seu site).
O certificado fornecido pelo servidor está correto e é aceito pela maioria dos navegadores. O problema é que muitos servidores mais antigos não possuem o certificado raiz (relativamente) novo em seu repositório de confiança, então muitas automações estão gerando erros no momento.
Como não conheço seu site exato, peguei um site arbitrário hosted-by-discourse.com e o submeti ao Qualys SSL Server Test.
Como você pode ver, a raiz do segundo caminho de certificação está, de fato, expirada, mas isso é mitigado pelo fato de o certificado ISRG Root X1 estar presente no repositório de confiança (ou seja, incluído no seu navegador e/ou sistema operacional) para o primeiro caminho de certificação.
Servidores geralmente não atualizam seu repositório de confiança com frequência, então é provável que o seu servidor não tenha o certificado ISRG Root X1 em seu repositório de confiança. (O mesmo ocorreu com a imagem Docker de recebimento de e-mail).
Você pode encontrar um pacote atualizado, por exemplo, em https://curl.se/ca/cacert.pem. No CentOS, esse arquivo deve ser colocado em /etc/pki/ca-trust/extracted/pem/tls-ca-bundle.pem. No Ubuntu, você pode usar o comando update-ca-certificates, que atualiza /etc/ssl/certs/ca-certificates.crt.
Como alternativa, você pode desabilitar temporariamente a verificação de certificado SSL no código do seu servidor.