这种情况确实挺挠头的，尤其是面对管理严格的大型客户，明明硬件、浏览器、网络都看似一致，偏偏一半机器出问题。结合他们的严格安全策略，我整理了几个大概率的原因：

• 本地根证书存储未同步更新：虽然是同型号电脑，但企业环境里常禁用系统自动更新根证书的功能，改用内部管理工具批量推送。这部分出问题的机器很可能没收到最新根证书的推送，或者推送过程中出现了失败、遗漏。可以让客户检查这些机器的「受信任根证书颁发机构」存储，确认对应的根证书是否为有效版本。
• 组策略或安全软件的差异化限制：严格的安全环境下，不同机器可能被应用了不同的组策略——比如部分机器强制启用了更严格的证书验证规则，或者终端安全软件（EDR、防火墙）拦截了根证书更新请求，甚至缓存了过期的根证书信息。有些安全工具会做证书缓存优化，若未及时刷新就会导致验证异常。
• 浏览器独立证书存储的差异：就算是同一款浏览器，很多都有自己独立的证书管理库（比如Chrome的证书存储和系统并非完全同步）。出问题的机器可能浏览器的SSL缓存未清除，或者浏览器的自动更新被禁用，导致内置的根证书库停留在旧版本。可以尝试清除浏览器的SSL缓存，或者手动将最新根证书导入浏览器的信任列表。
• 隐性网络路径差异：看似同一网络，但部分机器可能走了不同的隐形代理或路由——比如在特定VLAN、连接了内部代理服务器，而这些代理设备本身缓存了过期的根证书，导致客户端拿到的验证信息是旧的。哪怕用户说网络面板显示直连，也建议确认下是否存在这类隐性路径。
• 系统补丁或版本的细微差异：同型号电脑不代表系统补丁完全一致，有些旧系统补丁会影响根证书的自动更新逻辑。比如Windows的某些安全补丁修复了根证书同步的bug，未安装该补丁的机器就无法自动更新根证书，从而停留在过期版本。

备注：内容来源于stack exchange，提问作者daprezjer