Let's Encrypt con certificado CA caducado y Apple Mail

Parece que tu servidor IMAP sólo está sirviendo el certificado de la hoja, pero no los certificados intermedios que se necesitan para verificarlo. Puedes comprobarlo con la función openssl s_client comando:

$ openssl s_client -connect imap.piraneo-canepa.ch:imap -starttls imap </dev/null
CONNECTED(00000005)
depth=0 CN = piraneo-canepa.ch
verify error:num=20:unable to get local issuer certificate
verify return:1
depth=0 CN = piraneo-canepa.ch
verify error:num=21:unable to verify the first certificate
verify return:1
---
Certificate chain
 0 s:/CN=piraneo-canepa.ch
   i:/C=US/O=Let's Encrypt/CN=R3
---
[...]

Tenga en cuenta que la sección "Cadena de certificados" sólo muestra un único certificado, que es el certificado de hoja del servidor. Compárelo con su servidor SMTP (correo entrante), que sí incluye los intermedios:

$ openssl s_client -connect mail.piraneo-canepa.ch:smtp -starttls smtp </dev/null
CONNECTED(00000005)
depth=2 C = US, O = Internet Security Research Group, CN = ISRG Root X1
verify error:num=20:unable to get local issuer certificate
---
Certificate chain
 0 s:/CN=piraneo-canepa.ch
   i:/C=US/O=Let's Encrypt/CN=R3
 1 s:/C=US/O=Let's Encrypt/CN=R3
   i:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
 2 s:/C=US/O=Internet Security Research Group/CN=ISRG Root X1
   i:/O=Digital Signature Trust Co./CN=DST Root CA X3
---
[...]

Aquí la sección "Cadena de certificados" incluye dos intermedios junto con la hoja de certificados del servidor. Si añade el -showcerts imprimirá los tres certificados (en formato PEM).

...así que creo que todo lo que tienes que hacer es añadir esos mismos intermediarios a la configuración TLS en tu servidor IMAP.