El emisor de un certificado que no ha caducado es el responsable de mantener la llamada "lista de revocación". Si un certificado es sospechoso, el emisor puede revocarlo añadiéndolo a esa lista, en cuyo caso el navegador deja de considerarlo fiable. No es necesario mantener el estado de revocación para los certificados que han caducado. Así pues, aunque este certificado solía ser válido para el sitio web al que has accedido, en este momento no es posible determinar si se convirtió en sospechoso y se revocó o si sigue siendo seguro. Por tanto, es imposible saber si has accedido al sitio web legítimo o si el certificado se interceptó y has accedido al sitio del atacante al que pertenece actualmente.
