Asterisco: No tengo la respuesta a la pregunta. Pude reproducir el escenario del OP y estoy probando lo que
podría estar sucediendo.
Comencé con una investigación básica sobre cómo los certificados son validados por los navegadores. Parece que cuando un sitio proporciona un certificado SSL y la parte superior de la ruta de certificación no es una CA raíz en el almacén de confianza, otros mecanismos parecen estar activados. El Protocolo de Validación de Certificados (SCVP) basado en servidor parece ser un mecanismo para Puente de esta "brecha" en la cadena de confianza. El artículo de wikipedia en SCVP parece decir lo siguiente:
CAPI es capaz de crear rutas de certificación utilizando cualquier certificado que se instale en los almacenes de certificados de Windows o que proporcione la aplicación del usuario de confianza. El certificado de CA de Equifax, por ejemplo, viene instalado en Windows como un certificado de confianza. Si CAPI conoce el certificado ACME Co CA o si está incluido en un correo electrónico firmado y está disponible para CAPI por Outlook, CAPI puede crear la ruta de certificación anterior. Sin embargo, si CAPI no puede encontrar el certificado ACME Co CA, no tiene forma de verificar que el usuario Joe sea de confianza.
SCVP nos proporciona un protocolo cliente-servidor basado en estándares para resolver este problema mediante el uso de Detección de ruta delegada o DPD. Cuando se utiliza DPD, un usuario de confianza solicita a un servidor una ruta de certificación que satisfaga sus necesidades.
Nota: CAPI significa Interfaz de programación de aplicaciones criptográficas. Más detalles en el artículo de Wiki.
Mi puñalada en la oscuridad: Chrome está usando SCVP (o similar) para validar el certificado cuando el certificado raíz ya no está presente en el almacén de certificados de Windows. Ahora, existe la posibilidad de que me equivoque y que SCVP sea puramente para mecanismos de revocación de certificados como OCSP , pero no solo porque OSCP con Chrome desactivado en 2012 y probablemente no use SCVP para las revisiones de revocación.