ok merci @tdelmas
effectivement, j'étais persuadé que ma conf était bonne puisque j'avais un A+ sur les tests qualsys SSL Labs et je n'ai jamais eu ce message sur mon PC, quelque soit le navigateur utilisé, mais je l'avais sur mon tel android.
j'ai supprimé les lignes suivantes sur ma conf apache et ça a l'air de fonctionner (je n'ai plus le message sur mon tel) , je vérifierais demain avec une personne qui avait le message
#SSLVerifyClient optional
#SSLInsecureRenegotiation on
#SSLOptions +StrictRequire
je vais me pencher sur ces directives plus en détail pour comprendre à quoi elles servent exactement.
Merci encore