Как amishgeek указывает, и ping подтверждает:

    Microsoft Windows [Version 6.0.6002]
    Copyright (c) 2006 Microsoft Corporation.  All rights reserved.

    C:\Users\Owner>ping bulbstorm.com

    Pinging bulbstorm.com [216.139.247.153] with 32 bytes of data:
    Control-C
    ^C
    C:\Users\Owner>ping www.bulbstorm.com

    Pinging www.bulbstorm.com [216.139.247.153] with 32 bytes of data:
    Control-C
    ^C
    C:\Users\Owner>ping api.bulbstorm.com

    Pinging api.bulbstorm.com [216.139.247.153] with 32 bytes of data:
    Control-C
    ^C
    C:\Users\Owner>

У Вас есть тот же IP-адрес для обоих хостов. SSL происходит, прежде чем имена хостов отправляются. Имена хостов отправляются в Apache через Хост: заголовок в Запросах HTTP. В OpenSSL 1.0 будет поддержка сертификатов TLS, которые могут помочь с совместным использованием IP, но это - другой ballgame и больше поиска с помощью Google.

Ссылки:

• Ссылка от PositiveSSL, другого выпускающего сертификата SSL
• Запись от кого-то диагностирующего эту ту же проблему.
• И, из первых уст (Apache): http://httpd.apache.org/docs/2.0/ssl/ssl_faq.html#vhosts

ОБХОДНЫЕ РЕШЕНИЯ:

На статью в Википедии о TLS: необходимо скорректировать сертификат для поддержки нескольких подчиненных альтернативных имен (GoDaddy имеет "Сертификаты UCC"), или получите Wildcard-сертификат.

В зависимости от Вашей базы пользователей Вы могли попросить, чтобы пользователи поддерживали certficate корень CACert и получили subjectAltName сертификат от них. (на самом деле похоже, что Ваш текущий сертификат имеет subjectAltName для bulbstorm.com И www.bulbstorm.com). Это сохраняет Вас 70,00$ в год. Поместите ссылку на своей странице не-SSL или на Вашей странице SSL, которая говорит что-то как

"Вы получаете ошибки браузера SSL? Мы используем сертификаты SSL CACert. Перейдите по этой ссылке для загрузки их корневых сертификатов в браузер".

Для ответа на вопрос в самом конце это - то, как генерировать сам подписанный сертификат SSL.

Во-первых, эта строка генерирует закрытый ключ, который используется для генерации сертификата подписывая запрос (CSR).

openssl genrsa -des3 -out server.key 1024

Вам предложат ввести пароль. Этот пароль зашифрует закрытый ключ. Эта следующая строка генерирует CSR использование Вашего закрытого ключа.

openssl req -new -key server.key -out server.csr

Вам затем предложат следующие вопросы (и Ваш пароль, если Вы приняли решение использовать один выше в поколении Вашего закрытого ключа.)

Country Name (2 letter code) [GB]:
State or Province Name (full name) [Berkshire]:
Locality Name (eg, city) [Newbury]:
Organization Name (eg, company) [My Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:
Email Address []:
Please enter the following 'extra' attributes
to be sent with your certificate request
A challenge password []:
An optional company name []:

Править: если Вы действительно генерируете самоподписанный сертификат для тестирования, Common Name поле выше - то, где Вы хотите поместить свой домен (точно, как Вы хотите это, т.е. с www если Вы хотите, чтобы это было адресом, Вы используете). После генерации CSR можно самоподписать его делающий следующее.

openssl x509 -req -days 365 -in server.csr -signkey server.key -out server.crt

Затем у Вас будет свой закрытый ключ (server.key) и Ваш сертификат SSL (server.crt) который можно установить в Apache с помощью директив, Вы использовали выше для других сертификатов.

Я не уверен, отвечает ли это на какой-либо из вопросов относительно очевидного неправильного сертификата, отправляемого в браузер, но я предложил бы, возможно, удалить все ссылки на файлы сертификата вне этого VirtualHost директива, чтобы видеть, происходит ли это все еще, так как Вы только действительно можете иметь один хост SSL на IP-адрес, и имеющий несколько SSLCertificateFile директивы могли иметь необычный эффект.