Problema:
Como se não bastassem os impostos, ainda temos que perder horas e horas de trabalho resolvendo problemas que o Governo cria.
Dessa vez, parece que mudaram os certificados remotos lá na SEFAZ MG e os novos certificados usam novos certificados de autoridades raiz, ou certificados de autoridades certificadoras raiz, ou raízes de certificação autoritárias, ou monstros plantas ditadores certinhos, sei lá (já estou até me perdendo nos termos de tanta energia gasta nisso).
Como as novas autoridades não eram reconhecidas nas máquinas dos usuários, começou a ocorrer o seguinte erro:
“A conexão subjacente estava fechada: Não foi possível estabelecer relação de confiança para o canal seguro de SSL/TLS.
O certificado remoto é inválido, de acordo com o procedimento de validação.”
Hipóteses:
Para estabelecer o canal seguro, o usuário deve usar um certificado válido (certificado cliente) e o certificado da SEFAZ (do webservice, certificado remoto) tem que ser reconhecido pelo computador do usuário como um certificado válido.
Para reconher o certificado remoto como válido, tal certificado deve ser validado por uma entidade certificadora. E essa entidade certificadora deve ser reconhecida como legítima pela máquina do usuário.
Aparentemente, o problema começou porque a SEFAZ MG mudou o certificado dos seus webservices no dia 08/06/2017 (certificado remoto). Isso ocorre anualmente e normalmente não é um problema, mas dessa vez o novo certificado usava uma nova “raiz certificadora”. E as máquinas dos usuários não reconheciam essa nova raiz certificadora.
Portanto, a solução é instalar os certificados da raiz certificadora e configurar o Windows para reconhecê-lo como confiável.
O que ficou mal explicado é porque algumas máquinas tiveram problemas e outras não. E porque algumas máquinas ficaram intermitentes, ou seja, alternavam períodos de funcionamento pleno e períodos com esse impedimento. Uma hipótese levantada foi uma arquitetura distribuída da SEFAZ, onde alguns clusters poderiam ainda estar funcionando com um certificado antigo, então seria uma “roleta russa”.
Solução:
A solução é instalar os certificados de autoridades raiz e configurá-los como confiáveis no Windows.
1) Obter os certificados de autoridades raiz.
Use uma URL de um webservice da SEFAZ.
Por exemplo, a SEFAZ MG tem essa lista de webservices: http://portalnfe.fazenda.mg.gov.br/web_services.html
Um deles que pode ser usado é a consulta de status do serviço:
https://nfe.fazenda.mg.gov.br/nfe2/services/NfeStatus2
Acesse essa URL com o Mozilla.
Ele vai reclamar: “Sua conexão não é segura”.
Clique em “avançado”, “adicionar exceção”, “ver (X)…”.
Na aba “detalhes”, selecionar os certificados raiz e exportá-los. No caso, foram: “Autoridade Certificadora Raiz Brasileira v5”, “AC Certisign G7”, “AC Certisign Multipla SSL”.
2) Instalar os certificados.
Localize os arquivos dos certificados e use um duplo clique para instalar cada um dos certificados, de preferência na ordem hierárquica deles. Isso talvez tenha que ser feito para cada usuário da máquina. Siga o wizard de instalação, usando a opção de deixar o Windows determinar o melhor repositório.
3) Configurar os certificados como confiáveis.
Abra o mmc (tecle windows+R e digite mmc).
Vá no menu “arquivo”,
“adicionar/remover snap-in…”,
selecione “certificados” na lista,
clique em “adicionar”,
“minha conta de usuário”,
depois “ok”.
Agora, você deve localizar o certificado que você acabou de instalar.
Só precisa localizar o mais alto da hierarquia.
No caso, é o “Autoridade Certificadora Raiz Brasileira v5”
Provavelmente você o encontra (na árvore) em “Autoridades de Certificação Intermediária” / “Certificados”.
Arraste-o para “Autoridades de Certificação Raiz Confiáveis” / “Certificados”.
ideiasdefenestradas 
Seu artigo meu ajudou demais, obrigado!