No tienen por qué ser elementos HTML, por ejemplo un javascript, hoja de estilo, jsonp o sitio linkeado directamente puede generar advertencia aunque no todos los navegadores proporcionan esa información.
Además el candado sólo indica si existe el certificado (aunque no sea válido o haya caducado), por lo tanto no es muy fiable.