Hum j'avais zappé de mettre le certificat intermédiaire class1 de startssl (sub.class1.server.ca.pem) à la suite du certif que je présente à nginx pour mon site.
Or certains navigateurs (ou OS, suivant l'implémentation des certifs) ne l'ont pas par défaut. Du coup ça gueulait car la chaine de certification était rompue.

Contrairement à ce que dit l'article il n'est pas nécessaire d'inclure le root ca (ca.pem) dans le chain:
$ cat example.com.pem sub.class1.server.ca.pem (((ca.pem))) > example.com_chain.pem

Ah, et sinon l'auteur conseille cette directive:
add_header X-Frame-Options DENY;
Je ne l'utilise pas car roundcube et cozycloud (pour ne citer que ces 2 là) cessent de fonctionner correctement avec. Donc attention.